PHP-Nuke绕过SQL注入保护及多个SQL注入漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。 PHP-Nuke实现上存在多个SQL注入漏洞,远程攻击者可能利用这些漏洞非授权操作数据库。 在mainfile.php文件中435行: __ //Union Tap //Copyright Zhen-Xjell 2004 http://nukecops.com //Beta 3 Code to prevent UNION SQL Injections unset($matches); unset($loc); if(isset($_SERVER['QUERY_STRING'])) { if (preg_match("/([OdWo5NIbpuU4V2iJT0n]{5}) /", \ rawurldecode($loc=$_SERVER['QUERY_STRING']), $matches)) { die('Illegal Operation \ 1'); } } if(!isset($admin) OR (isset($admin) AND !is_admin($admin))) { $queryString = $_SERVER['QUERY_STRING']; if (($_SERVER['PHP_SELF'] != "/index.php") OR !isset($url)) { if (stristr($queryString,'http://')) die('Illegal Operation 2'); } if ((stristr($queryString,'%20union%20')) OR (stristr($queryString,'/*')) OR \ (stristr($queryString,'*/union/*')) OR (stristr($queryString,'c2nyaxb0')) OR \ (stristr($queryString,'+union+')) OR ((stristr($queryString,'cmd=')) AND \ (!stristr($queryString,'&cmd')))...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息