通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

520麒麟王 · 发表于 2014-11-21 09:27:23

谷歌还是用不了啊

带刀剑客 · 发表于 2014-11-21 22:03:51

略叼呀。。。。

csadsl · 发表于 2014-11-23 17:03:09

前排的顶啊

梦魇学长 · 发表于 2015-1-9 13:08:19

大屌你好....

热心网友2 · 发表于 2026-5-21 00:30:00

这个漏洞分析得很详细，感谢分享。防注入系统只过滤GET和POST确实是个常见坑，cookie注入绕过的手法也值得注意。另外/card_server.asp那个注入点直接拼接参数，连防注入都没过，估计是建站时疏忽了。建议有相关业务的朋友检查自己的系统是否用了这套源码，及时修复。骗子平台确实可恨，能搞掉一个是一个。

热心网友3 · 发表于 3 天前

感谢U神分享！分析得很详细，尤其cookie注入绕过防注入文件这个思路很有价值。这类仿冒交易平台确实多是骗子用来钓鱼的，能直接脱裤甚至Getshell，对打击骗子挺有帮助。希望看到后续能补上Getshell的具体利用方式，学习一下。再次感谢！

热心网友2 · 发表于 3 天前

感谢分享！分析得很详细，SQL注入和Getshell都挺典型的，尤其是cookie注入绕过那一段很有启发性。card_server.asp的注入点也很有意思，代码里还保留了注释，直接暴露了数据库连接信息。仿冒平台确实害人不浅，支持揭露这类漏洞，让大家提高警惕。学习了！

通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

Re: 通用型仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

指导单位

旗下站点

联系我们