当前位置: 首页 > article >正文

ThinkPHP框架审计--基础

article 2025/1/18 6:22:35

基础入门

搭建好thinkphp

在这里插入图片描述

查看版本方法,全局搜version

在这里插入图片描述

根据开发手册可以大致了解该框架的路由

在这里插入图片描述

例如访问url

http://127.0.0.1:8094/index.php/index/index/index

在这里插入图片描述

对应代码位置

在这里插入图片描述

例如在代码下面添加新方法

在这里插入图片描述

那么访问这个方法的url就是

http://127.0.0.1:8094/index.php/index/index/qdy

在这里插入图片描述

在app\index\controller文件下加入新类qdy

在这里插入图片描述

写入代码

在这里插入图片描述

访问url:

http://127.0.0.1:8094/index.php/index/qdy/index

在这里插入图片描述

配置数据库 database.php

在这里插入图片描述

根据开发文档写查询语句

在这里插入图片描述

在这里插入图片描述

写完后导入类

在这里插入图片描述

访问url:http://127.0.0.1:8094/index.php/index/qdy/sql?id=1

在这里插入图片描述

在config.php内开启调试模式

在这里插入图片描述

再次刷新,可以看见sql语句

在这里插入图片描述

但是无法sql注入

在这里插入图片描述

但是如果没有遵循开发文档的写法便可能存在sql注入

在这里插入图片描述

在这里插入图片描述

历史漏洞利用

查看版本方法,全局搜version

在这里插入图片描述

该版本是5.0.24

关于历史漏洞:

Mochazz/ThinkPHP-Vuln: 关于ThinkPHP框架的历史漏洞分析集合

hughink/Thinkphp-All-vuln


http://www.kler.cn/a/429342.html

相关文章:

  • 【算法学习笔记】30:埃氏筛(Sieve of Eratosthenes)和线性筛(Linear Sieve)
  • Oracle 批量投入数据方法总结
  • postgresql分区表相关问题处理
  • 【C语言】_字符串拷贝函数strcpy
  • 2023-2024 学年 广东省职业院校技能大赛(高职组)“信息安全管理与评估”赛题一
  • Linux的常用命令(三)
  • 树莓派3B+驱动开发(5)- pinctrl和gpio子系统
  • 技术岗面试准备总结
  • STM32F103 Keil 库函数工程创建
  • STM32F103单片机HAL库串口通信卡死问题解决方法
  • 【考前预习】1.计算机网络概述
  • hive:Cannot truncate non-managed table table_name
  • 利用深度纹理实现运动模糊
  • 17.字符串大小比较
  • 组件上传图片不回显问题
  • 反向代理后Request.Url.AbsoluteUri获取成了内网IP
  • YOLOv8改进,YOLOv8引入CARAFE轻量级通用上采样算子,助力模型涨点
  • mHand Pro动捕数据手套,赋予手部虚拟交互沉浸式极致体验
  • Ubuntu防火墙管理(六)——ARP防火墙过滤防御自定义系统服务
  • RFDiffusion中的ContigMap类介绍
  • linux 命令获取apk 的安装应用的包名
  • 使用ssh免密登录实现自动化部署rsync+nfs+lsync(脚本)
  • 20 设计模式之职责链模式(问题处理案例)
  • Android 事件分发机制详解/ 及Activity启动流程浅谈
  • Flutter如何调用java接口如何导入java包
  • 【数据结构】堆的概念、结构、模拟实现以及应用