Web安全挖掘实战:08---Joomla3.7.0 SQL注入靶机挖掘实战

• 本片文章所使用的靶机与Joomla3.7.0源代码下载，见文章：https://blog.csdn.net/qq_41453285/article/details/101870826

一、SQL注入源码分析

• Joomla3.7.0源代码有一个components组件，components目录下有一个com_fields目录，com_fields目录下有一个controller.php文件

• 其中有一个_construct函数：如果输入'view'等于'fields'并且输入'layout'等于'modal'的时候，就会从JPATH_ADMINISTRATOR中加载com_fields，此时会调用下面的fields.php

• fields.php位于conponents/con_fields/models/forms目录下

• fields.php中有一个getListQuery()函数，函数中现通过this指针获取一个数据库对象

• 然后在305行获取一个list，然后在314行使用数据库对象调用escape函数进行转义，转义的时候使用了单引号''进行转义。而这个listOrdering是我们可控的

• 数据库的注入URL

http://IP:PORT/index.php?option=com field&layout=modal&list[fullordering]=updatexml(0x3a,concat(1,(select%20md5(1))),1)

• 实验未成功也未完结，待续。。。