ThinkPHP5.1.x SQL注入(orderby注入)

最新推荐文章于 2024-08-12 00:16:51 发布
最新推荐文章于 2024-08-12 00:16:51 发布
阅读量917 收藏
点赞数 1
分类专栏: # ThinkPHP代码审计 文章标签: thinkphp 代码审计 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/119685805
版权

ThinkPHP5.1.x SQL注入(orderby注入)

漏洞概要

  • 本次漏洞存在于 Builder 类的 parseOrder 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL 注入漏洞的产生
  • 漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22

初始配置

获取测试环境代码

composer create-project --prefer-dist topthink/think=5.1.22 tpdemo

在这里插入图片描述

将 composer.json 文件的 require 字段设置成如下

"require": {
        "php": ">=5.6.0",
        "topthink/framework": "5.1.22"
    },

然后执行 composer update

在这里插入图片描述

下载后的源码中,需要对 application/index/controller/Index.php 内容进行修改

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $orderby = request()->get('orderby');
        $result = db('users')->where(['username' => 'mochazz'])->order($orderby)->find();
        var_dump($result);
        return '<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px;} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:) </h1><p> ThinkPHP V5.1<br/><span style="font-size:30px">12载初心不改(2006-2018) - 你值得信赖的PHP框架</span></p></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=64890268" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="eab4b9f840753f8e7"></think>';
    }
}

config/database.php 文件中配置数据库相关信息,并开启 config/app.php 中的 app_debugapp_trace ,创建数据库信息如下

create database thinkphp;
use thinkphp;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,'H3rmesk1t');

漏洞利用

Payload

http://127.0.0.1/cms/public/index.php?orderby[id`|updatexml(1,concat(0x7,user(),0x7e),1)%23]=1

在这里插入图片描述

漏洞分析

首先数据都会进入到 Request 类中的 input 方法,并且经过 filterValue 方法的过滤和强制类型转换并返回 $data

在这里插入图片描述

这里 array_walk_recursive 函数对数组中的成员递归调用 filterValue 过滤函数,但是 filterValue 过滤函数,不过滤数组的 key , 只过滤了数组的 value,用户输入的数据会原样进入框架的 SQL 查询方法中,进入 Query

在这里插入图片描述

在这里插入图片描述

恶意Payload 未经过任何过滤直接传递给 options['order']

在这里插入图片描述

接着调用 find 方法,此处 $this->connectionthink/db/connectior/Mysql 类 ,继承于 Connection 类,于是此处继续调用该类的 find 方法

在这里插入图片描述
在这里插入图片描述

该方法继续调用了 $this->builder, 即 think/db/builder/Mysql 类的 select 方法,该方法通过 str_replace 函数,将数据填充到SQL语句中

在这里插入图片描述

然后调用了 parseOrder 方法,跟进该方法,$order 是输入的数据,然后经过了 parseKey 方法处理后返回给 $array,跟进查看该方法的实现

protected function parseOrder(Query $query, $order)
    {
        if (empty($order)) {
            return '';
        }

        $array = [];

        foreach ($order as $key => $val) {
            if ($val instanceof Expression) {
                $array[] = $val->getValue();
            } elseif (is_array($val)) {
                $array[] = $this->parseOrderField($query, $key, $val);
            } elseif ('[rand]' == $val) {
                $array[] = $this->parseRand($query);
            } else {
                if (is_numeric($key)) {
                    list($key, $sort) = explode(' ', strpos($val, ' ') ? $val : $val . ' ');
                } else {
                    $sort = $val;
                }

                $sort    = strtoupper($sort);
                $sort    = in_array($sort, ['ASC', 'DESC'], true) ? ' ' . $sort : '';
                $array[] = $this->parseKey($query, $key, true) . $sort;
            }
        }

        return ' ORDER BY ' . implode(',', $array);
    }

跟进 thinkphp/library/think/db/builder/Mysql.php,该方法在变量 $key 的两端添加了反引号进行拼接并且没有任何过滤

在这里插入图片描述

最终返回了一个带有 ORDER BY 的 SQL 注入 payload 给要执行的SQL语句,实现 ORDER BY 注入

在这里插入图片描述

完整的方法调用,从下往上

在这里插入图片描述

漏洞修复

官方的修复方法是:在拼接字符串前对变量进行检查,看是否存在 )、# 两个符号

在这里插入图片描述

攻击总结

参考Mochazz师傅的审计流程

在这里插入图片描述

H3rmesk1t
关注
专栏目录
ThinkPHP5.1.22_order by注入
11-28 924
ThinkPHP5.1.22_order by注入 ThinkPHP5.1.16-ThinkPHP5.1.22 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $orderby = request()->get('orderby'); $result = db('users')->where(['username' => 'adm
pgsql thinkphp5_ThinkPHP链接 PgSQL
weixin_39839410的博客
12-21 291
ThinkPHP version: 5.1.*使用 ThinkPHP 框架连接PGSQL时遇到的坑, 记录下来...避免一次一顿百度....改配置修改 /config/database.php 这个配置文件connect pgsql config如果此时对数据操作会报错could not find driver开扩展修改 php.ini 打开连接pgsql需要的扩展, 如果没有请到 http://...
[PHP] ThinkPHP3.2 order by注入分析
Y4tacker的博客
02-26 985
本篇是ThinkPHP3.2系列的最后一篇了,终于告一段落了 我首先还是放payload吧 ?username=admin&order[updatexml(1,concat(0x3a,user()),1)],当然为了复现简单写个控制器吧,这个漏洞利用点就是最后拼接sql语句的时候的parseOrder方法没有进行过滤造成的 <?php namespace Home\Controller; use Think\Controller; class IndexController extends C
thinkphp5漏洞sql注入
最新发布
m0_69656902的博客
08-12 209
查看后我们得知新版本进行了一个安全更新,所以是存在漏洞的,接下来我们就要根据版本更新后的补丁确定漏洞的位置。因为要先进行数据库的连接,在进入到insert中,所以我们退出来就能进入到insert方法中。但我们要看的是Builder,所以我们进入Builder中的insert。因为是parseData在处理数据,所以我们要进入parseData中。查询结果都是使用了拼接的方法,所以可能是在此处出现了问题。向下查看内容找到先前的补丁内容发现缺少内容,确定漏洞在此。查看版本更新后提交的信息,发现其修改的。
Thinkphp 5.1.16~5.1.22 order by SQL注入
feng的博客
03-08 583
前言 这次的SQL注入点在parseOrder()方法中,影响版本是5.1.16~5.1.22。 创建: composer create-project topthink/think=5.1.22 thinkphp5.1.22 "require": { "php": ">=5.4.0", "topthink/framework": "5.1.22" }, composer update index控制器写法: public function
ThinkPHP5.1.25_聚合函数的SQL注入分析
11-28 697
ThinkPHP5.1.25_聚合函数的SQL注入分析 ThinkPHP5.0.0-ThinkPHP5.0.21/ThinkPHP5.1.3-ThinkPHP5.1.25 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $options = request()->get('options'); $result = db('users')-&g
ThinkPHP5.1.17代码审计SQL注入
D.MIND 的博客
05-05 643
文章目录简介:环境搭建正常流程走一次不正常流程走一次payload:修复 简介: 在parseArrayData() 中出现可控制的拼接情况,从而导致 SQL注入 漏洞( update 方法注入) 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。 环境搭建 利用composer下载5.1.17版本的源码 composer create-project topthink/think=5.1.17 thinkphp5.1.17 到compos
Thinkphp 无法使用->order() 排序的两种解决的方法!
weixin_34050389的博客
05-31 509
使用ThinkPHP,却发现无法使用-&gt;order($order)来排序。 $order = " info.date2 desc "; 非常遗憾的是这样写结果order却变成了 order by date2 limit ... desc不见了。 解决的方法一: $order 里面两边不能有不论什么空格,$order = "info.date2 desc";(正确)。$...
Thinkphp 5.1.17 SQL注入
feng的博客
03-05 1146
前言 之前审计的是5.0.15的parseData函数漏洞导致的SQL注入。这次审的是5.1.17的parseArrayData函数漏洞导致的SQL注入。影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。 composer create-project topthink/think=5.1.17 thinkphp5.1.17 然后改一下composer.json,再composer update就好了。 然后设置一下database.php:
ThinkPHP采用原生query实现关联查询left join实例
10-25
总的来说,这个实例展示了在ThinkPHP中如何使用原生的SQL查询方法`query`来实现LEFT JOIN,提供了一种更直接的方式来执行复杂的关联查询。这种方法虽然需要手动编写SQL,但能够更好地适应不同的数据库交互需求,特别...
ThinkPHP链接 PgSQL
qq_38358436的博客
11-23 761
ThinkPHP version: 5.1.* 使用 ThinkPHP 框架连接PGSQL时遇到的坑, 记录下来...避免一次一顿百度.... 改配置 修改 /config/database.php 这个配置文件 connect pgsql config 如果此时对数据操作会报错 could not find driver ...
thinkphp漏洞总结
bhegi_seg的博客
07-31 1159
thinkphp是一个国内轻量级的开发框架,采用php+apache,在更新迭代中,thinkphp也经常爆出各种漏洞,thinkphp一般有thinkphp2、thinkphp3、thinkphp5、thinkphp6版本,前两个版本已经停止更新,主要介绍下thinkphp5的漏洞。...
thinkphp5.1 学习笔记 【SQL 语句】
黎明
07-18 927
在项目开发中 打印 原生 sql 语句 在 框架中查询构造器  结束后 返回的数据中,在 select()  查询中的 括号中输入 false  打印出 返回的值 即为 sql 语句   $data = $baseQuery-&gt;where($whereAll)-&gt;whereOr($whereOr)-&gt;page($page, $limit)-&gt;order('Contr...
php 自定义排序,thinkphp6.0自定义排序order by field
weixin_39734184的博客
03-10 1948
相信很多时候我们需要有个自定义排序的功能,比如登录用户的点赞排序到第一位等等。![](https://cdn.micuer.com/data/upload/avatar/20210128/1b7ad4e34aeb62eee4442099261c33c2.jpg)这种情况下我们一般都是使用自定义排序的功能,那么原生sql又是怎么实现的呢?```SELECT * FROM `ct_xxx` ORDER...
Thinkphp M order方法
loongwong2011的博客
07-03 1012
ThinkPHP中,M("user")->order("id desc")->select(); 这样就是按id 这个字段降序查询。想要对取出的数据做limit限制的话,就用 M("user")->order("id desc")->limit(3)->select();
ThinkPHPorder()方法的使用
landylxy的博客
07-12 4012
原文地址: http://www.splaybow.com/post/thinkphp-order-function.html order方法属于模型的连贯操作方法之一,用于对数据库操作的结果进行排序。即相当于是在select语句中一个order by的子句。 用法     $Model->where('status=1')->order('id desc')->limit(
ThinkPHP如何防止SQL注入攻击
一个努力不被优化的程序员
04-02 1046
需要注意的是,以上方法只是一些基本的防止SQL注入攻击的手段,为了进一步提高安全性,开发者还应该对用户输入进行严格的过滤和验证,以确保输入的数据符合预期的格式和范围。Query对象会自动对用户输入的数据进行预处理,确保输入的数据不会被解析为可执行的SQL语句。1. 使用Query对象的参数绑定功能,将用户输入的数据作为参数传递给SQL查询语句。2. 使用Query对象的预处理功能,将用户输入的数据作为预处理的参数。3. 使用Query对象的参数绑定和预处理功能的组合,以提高安全性。
php select limit倒序,Thinkphp5 海量数据查询分页(paginate)ORDER BY和LIMIT 造成查询很慢的临时解决办法...
weixin_36116366的博客
03-10 1561
一台数据监控后台,图省事就用Thinkphp5写了下,数据30万的时候分页就很卡了,基本上6秒才能查询执行完。基本上是ORDER BY 和 LIMIT 造成的查询很慢,详细的就不多说了,下面贴一下我自己的解决办法,没有深入去处理,只是个临时解决办法,仅供参考。涉及文件:\thinkphp\library\think\db\Query.php涉及函数:paginate涉及代码://$results...
线上黑客攻防 ThinkPHP5.x 远程函数执行与sql注入
安全龙网络安全攻防实验室
10-25 391
本实验环境用到的是Thinkphp 5.0.15、php5.6版本 存在同一个版本2个漏洞:远程函数执行CNNVD-201812-617与sql注入漏洞 高危:远程函数执行,此漏洞可直接getshell 影响范围:ThinkPHP 5.0 - 5.1版本。 中危:sql注入 影响范围:ThinkPHP 5.0.15以下版本 2018年12月9日 ThinkPHP官方博客发布了安全版本更新,Thin...
Thinkphp 5.0.x-5.1.x 变量覆盖RCE漏洞深度解析
ThinkPHP 5.0.x 和 5.1.x 版本的变量覆盖 Remote Code Execution (RCE) 漏洞分析是一篇关于ThinkPHP框架安全问题的文章,由作者whip1ash在2019年发布。文章指出,在这些早期版本中,存在一个可能导致恶意代码执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值