米酷CMS v7.0.3 sql注入漏洞审计及本地复现
米酷CMS v7.0.3 sql注入漏洞审计
漏洞简介
米酷影视管理系统是一套专为不同需求的站长而设计的影视管理系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需 3 分钟即可建立一个海量的视频讯息的行业网站。
米酷CMS v7.0.3版本admin/model/admin_edit.php
、ucenter/reg.php
等文件存在漏洞,攻击者可以利用漏洞进行sql
注入攻击。
漏洞影响
米酷CMS v7.0.3
第一处注入
- 漏洞文件
ucenter/reg.php
(前台文件)
- 分析
在reg.php这个文件中,第9行处对$username
这个参数进行了查询拼接,
但是在第7行处,$username
的值是来自于POST
传递的name
参数,当name
参数到达reg.php
这个文件之后,stripslashes()
函数将name
的