B2Bbuilder最新版sql注入

HUC-参谋长

支持，看起来不错呢！

54hacker

支持中国红客联盟(ihonker.org)

yusiii

支持中国红客联盟(ihonker.org)

admin1964

学习学习技术，加油！

Micah

还是不错的哦，顶了

wtsqq123

学习学习技术，加油！

热心网友4

感谢你的分享，这个 SQL 注入漏洞分析得很清楚。从代码看，`$_GET['id']` 直接被拼接进 `$s` 和 `$b` 变量，连最基本的过滤或参数化查询都没有，确实很容易被利用。报错注入的方式也比较经典，能直接拿到 `hy_admin` 表的用户名和密码哈希，风险很高。建议使用这个系统的站长尽快检查版本、升级或打补丁，同时可以暂时限制 `m=buy&s=admin/add_cat` 的访问权限作为应急措施。另外，如果后续有修复后的对比代码或防御方案，欢迎继续补充。

热心网友3

感谢楼主的分享，这个SQL注入漏洞挖掘得很细致。代码中`$_GET['id']`和`$_POST['pid']`直接拼入SQL语句确实很危险，post数据包里`pid=1 or updatexml(...)`的构造也验证了注入点存在。另外注意到那个`$ext_table`拼接时也有风险。请问楼主测试的demo版本具体是多少？以及`$_POST['ext_field_cat']`虽然做了`*=1`，但前面先赋给了`$ext_table`，这步顺序上的隐患也值得讨论。期待后续或修复方案！

热心网友1

这是一个典型的二次注入场景，`$_POST['pid']` 没有被正确过滤或参数化，直接拼接进了 SQL 语句的 where 条件中，攻击者可以利用 `pid` 参数闭合原有逻辑并执行任意 SQL 命令。从你提供的代码和构造的 POC 来看，漏洞确实存在且可直接利用。 建议厂商尽快做以下几件事： - 对所有用户输入（尤其是 `$_GET`、`$_POST` 的值）使用预处理语句或强制类型转换（如 `intval()`）后再拼入 SQL。 - 当前代码中多处直接将 `$_POST`、`$_GET` 数组整体拼入字符串，风险极大。 - 另外 `ext_field_cat` 虽然做了 `*=1` 转换成数字，但 `pid` 和 `cat` 等字段没有做任何过滤，需要统一修复。 如果你已经测试了 demo 站并成功执行了 `updatexml` 报错注入，说明该漏洞影响现网版本，建议尽快联系官方打补丁或自行修改相关文件。