Supesite 前台注入 #3 (Delete)

Delete
如果ucenter和supesite在一个裤的话 可以尝试把uckey注入出来
然后……

 

在cp.php中

包含进来

在source/cp_news.php中

 

首先我们注册一个会员 然后投稿 

 

s9.jpg

投稿 这里tag 随便写一个

+--------+-------+------------+------+--------+

| itemid | tagid | dateline | type | status |

+--------+-------+------------+------+--------+

| 3 | 1 | 1412680532 | news | 0 |

| 4 | 2 | 1412680930 | news | 0 |

数据库里也就创建了。。

这里的itemid 在http://127.0.0.1/dan/supesite/cp.php?ac=news&op=view&itemid=4

地址中就能看到为4

然后在$query = $_SGLOBAL['db']->query('SELECT * FROM '.tname('spacetags').' WHERE itemid=\''.$itemid.'\' AND status=\''.$status.'\'');

这里查询 

 

s10.jpg

这里查询 后面虽然跟了一些字符 提示warning 但是还是能查询出来。

$_SGLOBAL['db']->query('DELETE FROM '.tname('spacetags').' WHERE itemid='.$itemid.' AND tagid IN ('.simplode($deletetagidarr).') AND status=\''.$status.'\'');

然后就进来delete 里面没单引号 且无intval 导致注入。

投稿的时候抓包一下

 

s11.jpg

 

s12.jpg

 

修复方案:

intval一下