文章目录
- 熟悉网站结构
- 确定网站的路由
- 1.通过分析url直接得出路由
- 2.查看app/route.php
- 了解参数过滤情况
- SQL注入举例
- 任意文件下载与删除
- 任意文件下载
- 代码分析
- 任意文件删除
- 代码分析
熟悉网站结构
首先对系统的功能点进行大致的了解,对系统的目录情况进行大致了解,确定ThinkPHP版本
确定网站的路由
1.通过分析url直接得出路由
安装页面的url
为index.php/install/index/comolete.html
对应的为app
下install文件
下的controller
下的index.php
中的comolete方法
index.php
对应app
目录
install
对应install
目录
index
对应controller
下的index.php
comolete.html
对应controller
下的index.php
的comolete
方法
2.查看app/route.php
首先通过install.lock
是否存在判断是否安装
查询数据库中的内容赋值给数组$routeNav
和$routeCate
通过循环遍历数组$routeNav
和$routeCate
中的内容来绑定路由
没带id参数
时路由为index/Article/index
,带id参数
时路由为index/Show/index
此处news
的路由为index/Article/index
,进入对应的文件Article.php
下执行index
方法
index
方法通过getNID
函数获取url
上的news
字符串,然后根据获取的字符串不同的值展示页面
了解参数过滤情况
查看GET
、POST
等方式的全局过滤情况
THINKPHP
全局过滤设置在目录libs/libray/think/Request.php
中
在Request.php
中查看GET
和POST
函数内容
解析过滤器函数getFilter
,当没有给default
设置过滤方式时就会默认使用thinkphp
的过滤器
SQL注入举例
此处find
函数进行select
查询操作
跟踪find
函数,可以看到find
函数所在的文件位置在Query.php
中
在Query.php
文件中查找连接操作数据库的方式
此处用的PDO
预编译来执行sql
语句
所以当使用的是参数绑定的形式时是不会产生sql
注入的
类似这种,将$id
进行绑定的方式执行sql
语句,是不会产生注入的
此处虽然采用的是PDO
预编译,但是$id
并没有通过参数绑定的方式传递,而是直接拼接到字符串中
所以还是会产生sql
注入的
任意文件下载与删除
任意文件下载
下载文件处存在目录遍历,可通过../../
对任意文件进行下载
在THINKPHP
中因为很多文件格式名称都是固定的,所以说可以通过猜解去下载重要文件
代码分析
通过input
获取url
中的参数赋值给$name
,将当前url
地址和$name
的值拼接赋值给$file
file_exists
函数判断文件是否存在,如果文件存在则进行下载操作
因为此处并没有对特殊符号../
进行过滤所以存在目录遍历
任意文件删除
与任意文件下载同理
代码分析
与任意文件下载同理,没有对参数进行过滤,导致可通过../
对目录进行回溯