zzzphp save.php save_content方法下sql注入

在本地搭建服务器，httpd-vhosts.conf 中设置本地绑定的域名：

其中，zzzphp为下载的zzzphp cms的内容。

然后，本机上的zzzphp cms的目录结构为如下：

在按照要求安装好cms后，本地cms的后台地址访问地址为admin264.

在登陆后台后，使用postman发送如下请求：

必须在cookie中设置登陆服务器后返回的cookie值，否则执行将失败：

该cookie值在成功登陆服务器后台后会自动获得。

在postman中绑定cookie之后，发送请求：

http://[本地绑定的域名]/[后台地址]/save.php?act=content

需要注意的是，需要在act中传参数act=content。

使用post传的参数中其他都是无关项，但是c_content为关键项。

c_content参数需要先使用单引号和括号闭合语句，然后插入想要执行的sql语句，

这里c_content的值为content’,1,9);create database kaixinjiuhao;//

开始在phpstorm中进行跟踪：

可以看见此时$act=”content”,继续跟进:

然后在phpstorm中跟踪，跟踪到save_content()方法：

其中getform函数为获得我们之前通过post提交的各种参数，需要注意的是$c_content参数

此时，$c_content参数的取值貌似被转义，但是不用着急，往下看。

在第299行，$c_pagedesc参数在post不传值的情况下，成功获得我们输入的$_content的值，并且该值未经过转义：

继续跟踪，在第237行执行db_insert函数，跟进：

然后在在db_insert函数的第243行执行db_exec函数，继续跟进：

最后$d->exec($sql)执行命令。

最后postman返回消息：

继续往下执行，postman接收到返回回来的数据：

可见命令执行成功。

最后，可以成功在数据库中找到新创建的kaixinjiuhao数据库：

证明sql语句执行成功。

同理，save_content()函数中的$c_title2同样在post请求未传值时从$c_title处获取值，也存在sql注入的风险。