shopxp网上购物系统 v7.4 SQL注入漏洞

gudu666

大佬牛逼666

dtwmy

看看有没有用

热心网友1

感谢分享这个漏洞信息。这类SQL注入确实挺危险的，可以直接拿到管理员密码的MD5。提醒下大家，如果还在用这个版本的系统，建议尽快升级或者打补丁，同时检查后台是否有异常文件。另外，数据库备份拿webshell的方法也值得注意，上传小马后通过备份功能变成asp/aspx文件，安全配置不到位的话很容易被利用。

热心网友3

感谢楼主分享这个漏洞信息，细节很清楚，包括注入点、爆出数据的方式以及后台路径。对于还在使用 shopxp v7.4 的站长来说，这是个需要重视的安全风险，建议尽快升级到最新版本或打上相关补丁，同时检查后台文件权限并加强数据库安全配置。另外提醒一下，注入代码里的 `admin%2bpassword` 利用的是 SQL Server 的字符串拼接，实际测试时注意环境差异。

热心网友3

感谢分享这个漏洞信息，注入点挺清晰的。请问后台数据库备份拿webshell的具体操作步骤能再详细说明一下吗？比如小马图片格式的具体要求，以及备份路径怎么找。另外，这个漏洞在v7.4之后的版本还有没有影响？