目录

一、sqqyw（淡然点图标系统）

全局搜索关键字

搜索select

选择正则和不区分大小写

查看带有变量id的文件内容

对定义ID的ywX函数进行全局搜索

查看带有ywX函数的文件内容

查看/php/v144.php页面

对获取文字进行全文搜索

对sohuquan进行全文追踪

对domain进行全文追踪

修改来源地址

id=1

对文字继续进行搜索

进行绕过

通过时间盲注判断回显

通过sqlmap工具注入即可

二、74cms漏洞复现

进入会员中心

登录/注册

创建新简历

开启mysql监控

下断、更新

保存并监听

继续保存并监听

还是保存并监听

还是继续保存并监听

简历管理

sqqyw（淡然点图标系统）

全局搜索关键字

搜索select

发现select，但是并不是sql语句中的select，这是标签中的select

选择正则和不区分大小写

查看带有变量id的文件内容

如果出现乱码则改变编码格式，可以换成GBK和UTF-8

对定义ID的ywX函数进行全局搜索

查看带有ywX函数的文件内容

查看/php/v144.php页面

对获取文字进行全文搜索

查看domain是否在sohuquan里面

对sohuquan进行全文追踪

获取你网站的地址

对domain进行全文追踪

修改来源地址

id=1

对文字继续进行搜索

让api==ok，且u,p,id都不为空

进行绕过

语句被执行

通过时间盲注判断回显

因为语句中sleep(3)被执行了三次，所以延迟9s

所以这里处在注入点

通过sqlmap工具注入即可

python sqlmap.py -u "http://localhost/sqqyw/php/v144.php?api=ok&u=1&p=1&id=1" --batch -p "id" --current-db

74cms漏洞复现

利用二次注入的条件：

insert update

变量可控

进入会员中心

登录/注册

创建新简历

开启mysql监控

下断、更新

保存并监听

update里的语句跟我们插入的语句不相关，update里面的内容不是我们自己写的，是系统匹配的相应字段更新的数字，所以无法利用。

继续保存并监听

insert中的数据是我们选择的，不是我们插入的，所以无法利用。

还是保存并监听

这个使直接update更新的，没有进行插入，所以也不行。

还是继续保存并监听

存在insert和update，且变量可控

所以我们可以通过二次注入查看用户名

insert插入的时候过滤影响不大，只要update更新的时候别过滤就行。

简历管理