来源:未知 时间:2014-12-23 09:27 作者:xxadmin 阅读:次
[导读] 1. user/company/company_ajax. php elseif($act==promotion_add_save){ ************************ report_deal($uid,2,$points); $user_points=get_user_points($uid); write_memberslog($uid,1,9001,$_SESSION[username],{$pro_cat[cat_name]}:strong{$jo...
|
1. user/company/company_ajax.phpelseif($act=="promotion_add_save"){ ************************ report_deal($uid,2,$points); $user_points=get_user_points($uid); write_memberslog($uid,1,9001,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天,(-{$points}),(剩余:{$user_points})",1,1018,"{$pro_cat['cat_name']}","-{$points}","{$user_points}"); }elseif($_CFG['operation_mode']=='2'){ $user_pname=trim($_POST['pro_name']); action_user_setmeal($uid,$user_pname); //更新套餐中相应推广方式的条数 $setmeal=get_user_setmeal($uid);//获取会员套餐 write_memberslog($uid,1,9002,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天,套餐内剩余{$pro_cat['cat_name']}条数:{$setmeal[$user_pname]}条。",2,1018,"{$pro_cat['cat_name']}","-{$days}","{$setmeal[$user_pname]}");//9002是套餐操作 } write_memberslog($uid,1,3004,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天。"); ******************* } 会调用write_memberslog这个函数。 然后重点看这个变量$jobs['jobs_name'] 从上面我们可以得知 $jobs=get_jobs_one($jobid,$uid); 然后再继续看下去 function get_jobs_one($id,$uid='') { global $db,$timestamp; $id=intval($id); if (!empty($uid)) $wheresql=" AND uid=".intval($uid); $tb1=$db->getone("select * from ".table('jobs')." where id='{$id}' {$wheresql} LIMIT 1"); $tb2=$db->getone("select * from ".table('jobs_tmp')." where id='{$id}' {$wheresql} LIMIT 1"); $val=!empty($tb1)?$tb1:$tb2; if (empty($val)) return false; $val['contact']=$db->getone("select * from ".table('jobs_contact')." where pid='{$val['id']}' LIMIT 1 "); $val['deadline_days']=($val['deadline']-$timestamp)>0?"距到期时间还有<strong style=\"color:#FF0000\">".sub_day($val['deadline'],$timestamp)."</strong>":"<span style=\"color:#FF6600\">目前已过期</span>"; return $val; } 直接进行调用,没有处理。 So 我们可以这样, 新建一个职位,名称为 1','1','1',user(),'1','9')#  然后去为其消费,让其创建记录。置顶,变色,紧急,推荐都行。  然后在积分消费明细中可以看到  经过上面,我们可以得知,经过函数get_jobs_one 返回的值没有就行处理。 然后可以搜索下喊函数,看看在什么地方调用了,而且进入了数据库。  2. 下面继续看了一下申请职位名称这。  这一处,在 个人简历名称 职位名称 企业名称 三处都没有进行过滤, 随后我们可以去查看一下源码。 我们可以找出 上面这三处 数据 是怎么获取的,然后尝试是否可以扩大战果。 $jobsarr=app_get_jobs($jobsid); foreach($jobsarr as $jobs){ $addarr['company_name']=$jobs['companyname']; $addarr['jobs_name']=$jobs['jobs_name']; } 简历信息在这 $resume_basic=get_resume_basic($_SESSION['uid'],$resumeid); 3. 在邀请面试的地方 同样发现了二次注入。  这个构造一下吧 。 把企业名称修改成这样 m',1,3,'zz',1,user(),1,1)# 随后我们可以见下图  4. 经过测试,又发现,收藏职位处也可二次注入,  m'为企业名称 5. 发现一个有问题的函数 function get_company($uid) { global $db; $sql = "select * from ".table('company_profile')." where uid=".intval($uid)." LIMIT 1 "; $result = $db->getone($sql); return $result; } 获取企业资料不检测直接返回,随后找了这个函数进行了调用,然后执行了数据操作。 function add_down_resume($resume_id,$company_uid,$resume_uid,$resume_name) { global $db,$timestamp; $resume_id=intval($resume_id); $company_uid=intval($company_uid); $resume_uid=intval($resume_uid); $resume_name=trim($resume_name); $company=get_company($company_uid); $sql = "INSERT INTO ".table('company_down_resume')." (resume_id,resume_uid,resume_name,company_uid,company_name,down_addtime) VALUES ('{$resume_id}','{$resume_uid}','{$resume_name}','{$company_uid}','{$company['companyname']}','{$timestamp}')"; return $db->query($sql); } 然后再挖掘这个函数的 下载记录。  解决方案: 过滤
转载请注明本站链接:http://www.codesec.net/view/54787.html
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
