4.->order("可控参数")->find()
$username=I("username");$order=I("order");$data=M("users")->where(array("username"=>$username))->order($order)->find();测试代码如上,传入username=admin&order[updatexml(1,concat(0x3a,user()),1)]
最后的sql语句如下
了解了几个tp3.2.3的sql注入后,就可以搜索这些关键词来寻找sql注入
0x02 全局搜索sql注入正则学的不是很好,所以这里全局搜索虽然支持正则,但是没去用,只能写点简单的关键词来搜索,还望师傅们指点指点
全局搜索->find(
1.后台Ad控制器sql注入
点进去第一条发现where()内的$id可控,“ad_id=$id”,可能不需要单引号闭合就可以sql注入
先随便传个参数看看sql语句是怎样的
竟然这样,就可以用括号闭合来注入了
2.前台register控制器sql注入
看看$where是否可控
于是构造payload如下
3.前台login控制器sql注入