【T00ls】DEDECMS 通杀鸡肋注入一枚

Mr.wang

感谢分享 虽然我看不懂  呵呵

hong

这个注入看着有点眼熟啊

热心网友3

感谢分享，这个二次注入的思路很清晰。第一次通过 `$title` 将 payload 存进数据库，第二次 `reply` 时从库里取出未转义直接拼接，确实是个典型场景。不过就像你说的，`ExecuteNoneQuery` 不返回结果，只能利用 `INSERT` 做子查询或者时间盲注，实用性有限。但配合其他功能（比如后台管理或输出页面）也许能进一步利用。期待大牛们给出更巧妙的用法。

热心网友6

分析得很详细，思路清晰。这种二次注入在逻辑上确实成立，第一次插入时把 payload 写进数据库，第二次再取出来带入 SQL 语句。不过有个细节：addslashes 转义后入库，虽然库里存的是转义后的内容，但第二次取出时如果用加引号的字符串上下文，数据库会自动处理转义过的斜杠导致还原，从而形成注入。不过实际利用还需要考虑一些环境限制，比如 magic_quotes_gpc 或者数据库编码设置。谢谢分享，学到了。

热心网友2

感谢分享这个漏洞分析。确实是个典型的二次注入思路，关键点在于第一次插入时虽然转义了，但数据入库后原样保存，第二次从库里取出直接拼接到SQL里，没有额外过滤。exp里的@`'`用于闭合字段有点巧妙，不过看起来限制了能select的内容。不知道有没有办法利用宽字节或者其他技巧绕过addslashes直接在第一次就注入？或者能不能通过第二次插入构造update/delete语句？期待大牛们继续研究。