S-CMS企建v3二次SQL注入的方法

继上一篇的S-CMS漏洞再来一波!首发T00lsSql注入二次SQL注入漏洞文件：\scms\bbs\bbs.php相对来说这个注入比较简单，$B_sort 无过滤直接从POST获取，然而在SELECT查询的时候使用了intval函数来过滤变量。不过后面在insert的时候却没有任何过滤导致sql注入。所以这些变量可控，导致二次sql注入。―首先我们去发帖B_title的值是我们的payload，还有其他的值――B_title=',,'',1,999,1)%23&B_content=aaaaaaaaaaaa&B_sort=1―然后我们去获取帖子id，这个没有特别好的办法只能去摸索着找，可以先根据楼层判断一共有多少帖子，然后一点一点的往后找，根据内容判断是否是我们发布的帖子――http://127.0.0.1//scms/bbs/item.php?id=帖子id―获取到帖子后去触发漏洞――http://127.0.0.1//scms/bbs/item.php?action=reply&id=30――B_content=test执行完成！最后我们就可以去访问我们的回复然后拿到回显。id=666这次id参数指向的是我们填的B_sub值