phpyun SQL注入

在/model/qqconnect.class.php文件中:

代码从$_GET中获取id参数然后base64解码后按|分隔,其中第0个元素和第1个元素进入了SQL查询,但在此之前有个判断:

这里$this->config[‘coding’]默认为null,当我们只提交两个元素的数组时,$arr[2]也为null,因此$arr[2]==$this->config[‘coding’],条件成立进入判断所以注入发生:

DB_select_once:

query函数:

漏洞证明:
提交

id是ztz’ and 1=2 union select sleep(10),2,3,4,5,6,7,8,9;#|ztz的base64编码

拼接的SQL语句为:

执行后sleep了30s

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录