HDWiki v6.0 SQL注入

参考资料：

http://www.freebuf.com/vuls/170337.html

看到这篇代码审计的文章，决定自己也动手实验一下。

漏洞位置：

D:\phpStudy\WWW\hdwiki\lib\string.class.php

string.class.php

当没有开启GPC的时候，系统会使用addslashes函数进行转义。

当开启GPC，直接返回字符串，而gpc开启只会过滤$_POST、$_GET、$_COOKIE三种全局变量。

那也就是说除了这三个全局变量之外的变量是没有经过过滤的。

在user.class.php这个文件里面，$_SERVER['HTTP_REFERER']正好符合这个要求。

user.class.php

该参数没有经过任何过滤更新进数据库中，SQL注入由此产生。而且是通过获取cookie中的where条件中的sid值来更新。

在user.php页面中，add_referer方法被完美调用。

user.php

也就是在登录的地方。

漏洞利用：

当用户没有登录进去的时候，

sid

看数据库。

再试试登录进去访问该地址。将请求url地址修改一下。

cookie

再看数据库

success

ok！！！可以控制利用。

延时注入，添加payload：

success