yzmcms代码审计
路由蛮清晰的,直接开始
可能存在的sql注入
我在
里面看到他所在的路由地址
查看本地原码的时候发现
这里 仅仅使用了 strip_tags
提取tablename的值,并且tablename可控,所以就猜测可能存在sql注入
但是下面的这行限制只能存在数字和字母,以及下划线,并且必须是字母开头
但是我一时没想到只有数字和字母的sql语句
xss and upload?
在后台设置了lv1可发布内容之后,在发布点发现两个功能点,查看xss的发现限制了
其中的strip_tags
删除tablename
输入中的所有php标签和html标签
后面使用了trim
清理alias
输入的开头和结尾的空格
这里避免了xss漏洞
而另一个
这里面的通过handle_upload_types
设置允许伤处啊你的文件类型以及参数
里面设置了可以传照片视频docxppt以及表格等等,但是不然上传php以及txt
后面使用了
删除原来的上传文件的地址并设置了新的地址避免目录遍历
我尝试了使用文件包含jpg啥的都不行