微擎科技最新版某处无需登录sql注入

文件\payment\unionpay\notify.php

着重对

其实主要是对uni_setting进行查看。跟进uni_setting

继续跟进uni_setting_load

注意到

继续跟进pdo_get

持续跟进get

直接带入sql语句,没有过滤。直接上poc.

1




评论 (0)