|phpdisk V7 sql盲注一枚 - VULHUB开源网络安全威胁库

phpdisk V7 sql盲注一枚

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述：又到周末。 ### 详细说明：刚从官网上面下载下来的。 plugins\phpdisk_client\client_sub.php 我看了下这目录下的其他几个文件在iconv后都调用了escape函数来转义但是这个没有。造就了注入。 ``` $agent = $_SERVER['HTTP_USER_AGENT']; if($agent!='phpdisk-client'){ exit('<a href="http://faq.phpdisk.com/search?w=p403&err=code" target="_blank">[PHPDisk Access Deny] Invalid Entry!</a>'); } $u_info = trim(gpc('u_info','P','')); parse_str(pd_encode(base64_decode($u_info),'DECODE')); // checked username and pwd... /*$username = trim(gpc('username','GP','')); $password = trim(gpc('password','GP',''));*/ $username = is_utf8() ? $username : convert_str('utf-8','gbk',$username); $password = is_utf8() ? $password : convert_str('utf-8','gbk',$password); $userinfo = $db->fetch_one_array("select userid from {$tpf}users where username='$username' and password='$password'"); if(!$userinfo){ $str = '网盘登录出错：用户名或密码不正确，请重新输入'; $str = is_utf8() ? convert_str('utf-8','gbk',$str) : $str; echo $str; }else{ $uid = (int)$userinfo[userid]; } ``` 首先验证了user agent 但是user agent 是我们可以控制的无视他。 ``` function convert_str($in,$out,$str){ global $db; if(function_exists("iconv")){ $str = iconv($in,$out,$str); }elseif(function_exists("mb_convert_encoding")){ $str = mb_convert_encoding($str,$out,$in); } return $db->escape($str); } ``` 这里也调用了escape转义了但是这里利用宽字节来注入。然后直接带入了查询。造就了注入。 ### 漏洞证明：这里没有输出。需要盲注。我直接把这里输出一下把。证明一下可以注入就行了。 ``` $userinfo = $db->fetch_one_array("select userid from {$tpf}users where username='$username' and password='$password'"); print_r ($userinfo); ``` [<img src="https://images.seebug.org/upload/201404/12144742c3b6da02a7052ac7fef10a1532a3c598.jpg" alt="p1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/12144742c3b6da02a7052ac7fef10a1532a3c598.jpg)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™