function login($nickname, $password, $is = '') {

......

$member = $this->login_check($nickname, $password, $is);



$_uid = $member['uid'];

if($_uid < 1)

{

$error = '登录失败： ' . $login_rets[$_uid];

return array('uid' => $_uid, 'error'=>$error);

}

else //登陆成功

{

$member['uc_syn_html'] = $uc_syn_html;





$timestamp=time();

$last_ip=client_ip();//问题出在这儿，跟进0x01

$sql="

UPDATE

".TABLE_PREFIX.'members'."

SET

`lastactivity`='{$timestamp}',

`lastip`='{$last_ip}'

WHERE

uid={$_uid}";

DB::query($sql);

}


include/function/global.func.php 0x01

function client_ip() {

$vs = array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'REMOTE_ADDR'); //HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR是可伪造的。

foreach($vs as $v) {

$ip = (getenv($v) ? getenv($v) : $_SERVER[$v]);

if($ip && strcasecmp($ip, 'unknown')) {

break;

}

}

$ips = explode('.', $ip); 

/*

  以点号为分隔符,分割IP.然后将每一位与1比较,看是否小于1，如果小于1,ip=127.0.0.1我们提交   1.1.1.1',role_id=2,role_type='admin   第一个1不小于1,第二个1不小于1,第3个1不小于1,第4个1',role_id=2,role_type='admin其实与1比较值也是1,所以还是不小于1，成功绕过。  

*/

for($i = 0; $i < 4; $i++) {

if($ips[$i] < 1) {

$ip = '127.0.0.1';

break;

}

}

return $ip;

}

    伪造HTTP_CLIENT_IP或者HTTP_X_FORWARDED_FOR，这里我就伪造HTTP_CLIENT_IP来做演示。   伪造HTTP_CLIENT_IP为1.1.1.1',role_id=2,role_type='admin       首先不要伪造HTTP_CLIENT_IP注册一个用户，因为注册的时候也用到了client_ip，因为过滤了注释，而且同时把client_ip赋值给了last_ip跟reg_ip，所以闭合不了，所以不能直接注册为管理员。正常流程注册一个普通账号过后。它提示   向大家做一个自我介绍，给大家一个与我互动的机会！   我的第一次（我的第一次没了。。。）   不用管它，直接伪造HTTP_CLIENT_IP，然后刷新就注入成功了。   !!!注意看我图里面的Modify Headers的状态(左下角红色的那个)。   登陆管理员的时候记得不要伪造HTTP_CLIENT_IP,不然会提示SQL语句错误，因为登陆的时候也用到了ip....当然你也可以直接在登陆页面注入。