ThinkPHP5 SQL注入(select方法)

最新推荐文章于 2024-04-19 11:50:51 发布
最新推荐文章于 2024-04-19 11:50:51 发布
阅读量2.2k 收藏 4
点赞数
文章标签: php thinkphp 代码审计 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/119658872
版权

ThinkPHP5 SQL注入(select方法)

漏洞概要

  • 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生
  • 漏洞影响版本: ThinkPHP5全版本

初始配置

  • 获取测试环境代码
composer create-project --prefer-dist topthink/think=5.1  tpH3rmesk1t

在这里插入图片描述

将 composer.json 文件的 require 字段设置成如下

"require": {
    "php": ">=5.6.0",
    "topthink/framework": "5.1.7"
}

然后执行 composer update

在这里插入图片描述

  • 下载后的源码中,需要对application/index/controller/Index.php内容进行修改
<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username');
        $result = db('users')->where('username','exp',$username)->select();
        var_dump($result);
        return '<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px;} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:)Gyan师傅永远嘀神!!!</h1><p> ThinkPHP V5.1<br/><span style="font-size:30px">12载初心不改(2006-2018) - 你值得信赖的PHP框架</span></p></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=64890268" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="eab4b9f840753f8e7"></think>';
    }
}
?>

config/database.php文件中配置数据库相关信息,并开启config/app.php中的app_debug和app_trace,创建数据库信息如下

create database thinkphp;
use thinkphp;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null,
);
insert into users(id,username) values(1,'H3rmesk1t');

漏洞利用

Payload:

http://127.0.0.1/cms/public/index.php/?username=)%20union%20select%20updatexml(1,concat(0x7,user(),0x7e),1)%23

在这里插入图片描述

漏洞分析

程序默认调用 Request 类的 get 方法中会调用该类的 input 方法,然后进到thinkphp/helper.php中的db方法,再进到thinkphp/library/think/db/Query.phpwhere方法,通过其 parseWhereExp 方法分析查询表达式,调用select方法

在这里插入图片描述

再调用thinkphp/library/think/db/Connection.php中的select方法

在这里插入图片描述

此处调用$this->builderselect方法,而此处$this->builderthink/db/builder/Mysql类,继承于Builder类,因此调用的是Builder类的select方法

在这里插入图片描述

select 方法中,程序会对 SQL 语句模板用变量填充,其中用来填充 %WHERE% 的变量中存在用户输入的数据,跟进这个 where 分析函数,会发现其会调用生成查询条件 SQL 语句的 buildWhere 函数,此处 $where 经过 buildWhere 方法处理后返回 $whereStr,期间调用 parseWhereItem 方法

在这里插入图片描述
在这里插入图片描述

parseWhereItem 的 where 子单元函数方法调用,当操作符为 EXP 时,调用 parseExp 方法,经过拼接带入SQL查询,造成SQL注入

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

完整的方法调用,从下往上

在这里插入图片描述

漏洞修复

该漏洞未被官方修复

攻击总结

参考Mochazz师傅的审计流程

在这里插入图片描述

H3rmesk1t
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkPHP框架中执行原生SQL语句的方法
10-19
主要介绍了thinkPHP框架中执行原生SQL语句的方法,结合实例形式分析了thinkPHP中执行原生SQL语句的相关操作技巧,并简单分析了query与execute方法的使用区别,需要的朋友可以参考下
vulhub中ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
yougexiaojiuguan的博客
03-06 575
漏洞复现过程的记录
Thinkphp常见漏洞总结
weixin_46622976的博客
07-12 4299
ThinkPHP漏洞整理
ThinkPHP5.0.15代码审计SQL注入
D.MIND 的博客
05-04 415
文章目录环境搭建分析payload:修复 环境搭建 到composer.json填写版本 到application/index/controller/Index.php中配置: public function index()//控制方法 { $username = request()->get('username/a'); db('users')->insert(['username'=>$username]); return 'Update success'; }
TP5 框架 SQL 执行流程分析及 5.0.9 SQL 注入漏洞分析
Love&Share
01-18 3742
文章目录SQL查询流程TP 5.0.9 SQL注入修复 SQL查询流程 TP5手册:https://www.kancloud.cn/manual/thinkphp5/118044 在分析 tp5 漏洞之前,先来看一看 tp5 在查询时的流程,与 tp3 有什么异同,写一个控制器 <?php namespace app\index\controller; class Index { public function index() { $name = Input("na.
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 1764
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1051
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 1554
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP如何防止SQL注入攻击
JimWen's Blog
12-28 726
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP中使用参数绑定的一些建议。
thinkphp3.2【SQL各种查询条件&&select()方法原理追踪】
如果暴力不是为了杀戮
06-20 2862
【各种查询条件设置】 $obj = D();  创建对象 $obj -> select();  查询数据 select  字段,字段  from  表名  where 条件  group 字段 having  条件   order 排序  limit 限制条数; SELECT%DISTINCT%%FIELD%FROM %TABLE%%JOIN%%WHERE%%GROUP%%HAVI
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
thinkPHP5分页功能实现方法分析
10-19
主要介绍了thinkPHP5分页功能实现方法,结合实例形式较为详细的分析了thinkPHP5实现分页功能的具体步骤与相关操作技巧,需要的朋友可以参考下
Thinkphp5行为使用方法汇总
10-18
主要介绍了Thinkphp5行为使用方法汇总,需要的朋友可以参考下
【无标题】PHP-parse_str变量覆盖
asdfaa的博客
04-16 348
变量he值为字符串“Spring”,然后通过parse_str将通过GET方式传递的Moon参数的字符串解析到变量中。由于parse_str存在变量覆盖漏洞,尝试输入?SangFor=he=Moon获得flag。docker-compose.yml文件或者docker tar原始文件。分析代码可知,需要以POST方法传入v1,以GET方法传入v3。访问题目,右键查看源代码,得到提示信息。
PHP定时任务框架taskPHP3.0学习记录4宝塔面板bash定时任务(轮询指定json文件字段后确定是否执行、环境部署、执行日志、文件权限)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
04-19 390
首先,需要启用EPEL(Extra Packages for Enterprise Linux)仓库,然后使用。没有安装在系统的PATH环境变量所包含的目录中。在这种情况下,需要按照上述步骤进行安装。并检验是否已安装,根据所使用的Linux发行版使用相应的包管理器。的版本信息,那就说明已经安装过了。同样,安装完成后,可以通过运行。命令,那就说明还没有安装,或者。如果确定是否已经安装了。,可以直接在终端中输入。来检验是否安装成功。即完成定时任务的设置。
高级IO和5种IO模型
m0_65558082的博客
04-16 900
高级IO详解
PHP定时任务框架taskPHP3.0学习记录5环境部署常见问题及解决方案
最新发布
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
04-19 579
如果你在使用 PHP 代码时遇到了 “function popen is disabled” 的错误,这意味着 PHP 配置中禁用了 popen 函数的使用。在命令行中运行一个简单的 PHP 脚本,使用 extension_loaded(‘redis’) 来检查 Redis 扩展是否已加载。找到 disable_functions 指令,从该指令中移除 popen,保存文件并重启 web 服务器。当出现一下错误,说明php版本不支持,建议升级php版本,至少>5.6。
ADOP带您了解电口模块和光模块的区别和运用场景
ADOP_BitRate的博客
04-18 843
首先,我们将万兆电口模块的SFP+端口插到万兆交换机上,然后使用网线(如Cat6或Cat7网络跳线)连接万兆电口模块的RJ45接口和服务器/存储端的RJ45接口即可,且无需购买额外的设备(如光纤收发器),节省安装成本。值得注意的是,尽管10/100/1000M电口和1000M电口可能看起来相似,但由于交换机的电路设计不同,它们需要匹配不同速率的电口模块。现如今,光模块主要向着低功耗方向发展,以ADOP万兆电口模块为例,其功耗在2.5W以下,传输距离越远,功耗越低。
WP-AutoPostPro 汉化版: WordPress自动采集发布插件
04-19 187
WP-AutoPostPro 是目前最好用的WordPress自动采集发布插件,最大的特点是可以采集来自于任何网站的内容并自动发布到你的WordPress站点。真正做到可以采集任何网站的内容并自动发布,采集过程完全自动进行无需人工干预,并提供内容过滤、HTML标签过滤、关键词替换、自动链接、自动标签、自动下载远程图片到本地服务器、自动添加文章前缀后缀、并且可以使用微软翻译引擎将采集的文章自动翻译为各种语言进行发布。抄笔记 (chaobiji.cn)
thinkphp防止sql注入例子
06-03
为了防止SQL注入攻击,ThinkPHP提供了多种方法,例如参数绑定、数据类型检测、预处理语句等。下面是一个使用参数绑定的例子: ``` $username = input('post.username'); $password = input('post.password'); $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值