在/model/qqconnect.class.php文件中:
代码从$_GET中获取id参数然后base64解码后按|分隔,其中第0个元素和第1个元素进入了SQL查询,但在此之前有个判断:
这里$this->config['coding']默认为null,当我们只提交两个元素的数组时,$arr[2]也为null,因此$arr[2]==$this->config['coding'],条件成立进入判断所以注入发生:
DB_select_once:
query函数:
提交
id是ztz' and 1=2 union select sleep(10),2,3,4,5,6,7,8,9;#|ztz的base64编码
拼接的SQL语句为:
执行后sleep了30s