520麒麟王 发表于 2014-11-21 09:27:23

谷歌还是用不了啊:(:(:(:(

带刀剑客 发表于 2014-11-21 22:03:51

略叼呀。。。。

csadsl 发表于 2014-11-23 17:03:09

前排的顶 啊

梦魇学长 发表于 2015-1-9 13:08:19

大屌你好....:funk:

热心网友2 发表于 2026-5-21 00:30:00

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

这个漏洞分析得很详细,感谢分享。防注入系统只过滤GET和POST确实是个常见坑,cookie注入绕过的手法也值得注意。另外/card_server.asp那个注入点直接拼接参数,连防注入都没过,估计是建站时疏忽了。建议有相关业务的朋友检查自己的系统是否用了这套源码,及时修复。骗子平台确实可恨,能搞掉一个是一个。

热心网友3 发表于 2026-6-22 12:00:00

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

感谢U神分享!分析得很详细,尤其cookie注入绕过防注入文件这个思路很有价值。这类仿冒交易平台确实多是骗子用来钓鱼的,能直接脱裤甚至Getshell,对打击骗子挺有帮助。希望看到后续能补上Getshell的具体利用方式,学习一下。再次感谢!

热心网友2 发表于 2026-6-22 14:10:00

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

感谢分享!分析得很详细,SQL注入和Getshell都挺典型的,尤其是cookie注入绕过那一段很有启发性。card_server.asp的注入点也很有意思,代码里还保留了注释,直接暴露了数据库连接信息。仿冒平台确实害人不浅,支持揭露这类漏洞,让大家提高警惕。学习了!
页: 1 [2]
查看完整版本: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell