主题:拍客piikee竞拍网站源码全局sql injection
作者:piaoye
版权:3EST信息安全团队 (www.3est.com)

0x01 简介
在乌云看以快拍拍网站充值BUG，就搜索了下这个网站，谷歌里有个类似的网站，程序注射一堆,然后就进去了。
0x02 配置并编译
php+mysql
0x03 实战应用
为什么说2B那？前台所有文件参数值都这样来的，大家看下这段代码

news_arc.php
<?php
define('IN_JP',true);
require_once("./config/init.php");

        $arcid = $_REQUEST["arcid"];
        if($arcid!=""){
                $qrynews2 = "select * from news where id = ".$arcid;               
                $objnews2=$GLOBALS['db']->get_one($qrynews2);                                   
        }else{
        $objnews2="";
        }

  $qrycount = "select w.id,r.username,w.won_date,p.name,a.auc_final_price,a.auctionID,p.picture1,p.price,(100-100*a.auc_final_price/p.price) as discount,a.auctionID from won_auctions w left join auction a on w.auction_id=a.auctionID left join products p on a.productID=p.productID inner join registration r on w.userid = r.id where w.userid>=0 order by w.won_date desc limit 0,7 "; 
  $obj1 = $GLOBALS['db']->select($qrycount);

$smarty->assign("obj1",$obj1);
$smarty->assign("objnews2",$objnews2);
$smarty->display('news_arc.htm');
?>

因数据库密码是明文储存，这就省了破解啥的了，具体可以在siteadmin/addadminmember.php里查看。
拿shell怎么办？
看是什么主机，iis6 or 阿帕奇的话，在广告管理处;号文件以及%上传即可。

估计程序员赶着回家生孩子，凑合着写的。