中国网络渗透测试联盟

标题: 蚂蚁信息分类系统mymps_1.6gbk 最新0day [打印本页]
作者: admin    时间: 2013-2-4 16:13
标题: 蚂蚁信息分类系统mymps_1.6gbk 最新0day

" x5 I& c) {; i2 g# M- G) t% v出现在评论处,小问题。放出来怕笑话呢。。
  y- G7 C9 B: K3 o) b01 }elseif($do == 'view'){
" t5 {6 Q3 a- z# U# e02 5 }2 Q7 w& C8 A1 {! ?5 C& [( N
03        require_once(dirname(__FILE__)."/global.php");
. ^2 {. o1 A2 `  o04        require_once(MYMPS_INC."/member.class.php");7 f, V2 u! O4 b
05        require_once(MYMPS_INC."/ip.class.php");) g7 ?: {9 ?" R$ x' j
06
: ]# c- u) E( D' G, `' x! f/ N  \07        if(!empty($part)&&$action == 'write'){
5 h* J, U# S: d8 k: I# g" F08                if(if_other_site_post()){
- D0 `; R9 ?7 |2 e$ g09                        $msgs[]="请不要尝试从站外提交数据!";7 I- @& {3 B, |  d" k5 _4 V
10                        show_msg($msgs);
# z* O: M. J7 H! F11                        exit();& Z( ?5 G0 ?4 g
12                }
. o1 w3 m. D1 O, s8 g& a0 e13 + T6 R, U( q* t: Q+ O0 e
14
$ K( @8 x+ u+ b) V0 z# x15                //mymps_chk_randcode();
4 \" h6 J7 F4 ~) ~, p6 M# p# s16 * k4 A( n( D5 h8 w- k
17                $content = $_POST[content];/ ?* p, B6 o% O. G# ^1 d
18                if(empty($content)){write_msg("请填写评论内容!");exit();}5 f- m$ n  F% u* e
19                if(strlen($content)>255){write_msg("请不要填写超过127个汉字!");exit();}
% V7 ~! Q1 \  P6 c20                $result                 = verify_badwords_filter($mymps_global[cfg_if_comment_verify],'',$_POST[content]);
3 ~% I: P5 S" [) N% C21                $content                 = textarea_post_change($result[content]);) q# `7 S1 `- U& |# T) u; n4 D. P
22                $comment_level  = $result[level];
' a. j" v0 m% [23                $userid                        = $_GET['userid'];
' F5 b, z4 ?, i9 a6 Q24
6 K/ G3 b- K' \/ \25
2 n3 D6 r0 }5 B: w' a5 k0 l' f- n3 @) y0 ]! u
26                $db->query("INSERT INTO `{$db_mymps}".$part."_comment` (".$part."id,content,pubtime,ip,comment_level,userid)VALUES('$id','$content','".time()."','".GetIP()."','$comment_level','".$_POST[userid]."')");  C1 Q% [& w- ~# N/ w6 ]) h
27                echo "INSERT INTO `{$db_mymps}".$part."_comment` (".$part."id,content,pubtime,ip,comment_level,userid)VALUES('$id','$content','".time()."','".GetIP()."','$comment_level','".$_POST[userid]."')";//userid和getip都没处理好。出现问题了。# z% i5 V/ x4 f8 u' q6 }! `
28                if($comment_level == '1'){3 C, l* I1 u* U& A: L! F* S
29                        write_msg("您的评论提交成功!","?part=".$part."&id=".$id);; z; ^+ m5 t' L& P$ o* e- B
30                }3 j! S5 N- R7 x: E- g& l* d* s" g2 K
31                else{& T. f( G' }) K) |3 h, ~
32                        write_msg("您提交的留言可能含有违禁词语,审核通过后显示!","?part=".$part."&id=".$id);! i3 S( p' j, D
33                }! w0 Y, m' F% s% O# A5 D7 X2 y& l
34                exit();
6 ]. J* c( f1 m35        }/ q6 r) w% B4 g5 z
结果出现问题了,% `6 e+ d9 `  k9 U* V, h9 ]

! l+ W$ r$ n' U. ?: V6 i接下来就是
  W( T# o4 G; \( s
4 ?! V6 c# `: i3 F直接爆出管理员账号加MD5…7 Y3 o8 C  ^  a$ ~4 G. G




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2