VULHUB ™

### 简要描述： 坑爹啊shell到手有木有... ### 详细说明： 看了看，前面的漏洞木有确认，好伤心啊 bug文件地址/include/mysql.class.php第511行; ``` //如果是普通查询语句，直接过滤一些特殊语法 if($querytype == 'select') { if(preg_match('/[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}/', $sql))//这个正则大概就是为了防止拿shell的 { $this->DisplayError("$sql||SelectBreak",1); } } ``` 但是在后台可以直接执行sql语句我本来就是感觉是个错误的设计，但是既然你们这样设计了，我也没办法，看你们书写的正则就是为了防止hack导出一句话木马的，但是正则写的不全，可以绕过，使用into dumpfile就可以绕过。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201402/23134213d3c250602d447822648a44a34b703d3f.jpg" alt="QQ图片20130223134124.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/23134213d3c250602d447822648a44a34b703d3f.jpg) 然后网站就gameover了

### 简要描述： 坑爹啊shell到手有木有... ### 详细说明： 看了看，前面的漏洞木有确认，好伤心啊 bug文件地址/include/mysql.class.php第511行; ``` //如果是普通查询语句，直接过滤一些特殊语法 if($querytype == 'select') { if(preg_match('/[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}/', $sql))//这个正则大概就是为了防止拿shell的 { $this->DisplayError("$sql||SelectBreak",1); } } ``` 但是在后台可以直接执行sql语句我本来就是感觉是个错误的设计，但是既然你们这样设计了，我也没办法，看你们书写的正则就是为了防止hack导出一句话木马的，但是正则写的不全，可以绕过，使用into dumpfile就可以绕过。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201402/23134213d3c250602d447822648a44a34b703d3f.jpg" alt="QQ图片20130223134124.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/23134213d3c250602d447822648a44a34b703d3f.jpg) 然后网站就gameover了