1. 发现SQL注入给一个单引号,很轻易的发现对方存在SQL注入,且爆出cms版本号和系统绝对路径。/index.php?s=/Home/Article/detail/id/1'.htmlOneThink 1.1.141212继续注入的时候,发现存在云锁,翻找两年前的waf绕过笔记,居然没有云锁。不过这种老的基于正则的本地waf,和D盾/安全狗的弱点是差不多的。但是注入绕过时必须要用到/**/注释,而下面这种传参形式使用/**/注释会混淆参数,因此不可用。/index.php?s=/Home/Article/detail/id/1'.html这个时候熟悉thinkphp3.2.3的人就会熟练的将其转化为另一种支持参数传/的url模式。/Home/Article/detail?id=1'这样就能绕云锁进行SQL注入了。绕过的payload,基本都是基于利用%0A产生假注释,比如。-- /*%0Aselect/**/user()有了SQL注入,似乎getshell近在眼前了?远没有那么简单。虽然OneThink的后台地址是固定的/index.php?s=/Admin/Public/login.html看数据库也没
………………………………
