(超级有用)ThinkPHP 5漏洞分析之SQL注入

最新推荐文章于 2024-08-12 00:16:51 发布
最新推荐文章于 2024-08-12 00:16:51 发布
阅读量3.1k 收藏
点赞数
文章标签: ThinkPHP SQL注入 漏洞分析 数据库安全 代码审计
原文链接:https://blog.51cto.com/u_15267341/2906050
版权

本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。

环境搭建

$ composer create-project --prefer-dist topthink/think=5.0.15 v5.0.15

安装后,因为默认 framework 版本为 5.0.24 ,所以将 composer.json 文件的 require 字段设置成如下:

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.15"
}

然后执行 composer update 将 framework 版本更新至 5.0.15 。进入 /application/index/controller/Index.php 修改代码如下:

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username/a');
        db('users')->insert(['username' => $username]);
        return 'Update success';
    }
}

接着本地创建数据库:

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);

进入 /application/database.php 配置本地数据库后,在 /application/config.php 中开启 app_debug 和 app_trace

// 应用调试模式
'app_debug'              => true,
// 应用Trace
'app_trace'              => true,

漏洞复现

http://127.0.0.1:8000/?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1
  • 1.

e2IF3iN.png!web

漏洞分析

首先跟进第一句: $username = request()->get(‘username/a’);

yUzqIne.png!web

通过 Request::get 方法获取 GET 传入的数据,然后调用 Request::input 方法获取 $data 数据,其中通过 array_walk_recursive 对 $data 数组中的每一个元素,都调用了 Request::filterValue 方法进行 过滤处理

VN7nqaA.png!web

当检测到字段中有如下关键字时,将会在字段末尾增加一个空格:

EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN

而我们 payload 显然是不含有这些关键字的,所以这些过滤处理并没有造成影响

接着跟进第二句,也就是数据库操作语句www.meimeitu8.com: db(‘users’)->insert([‘username’ => $username]);

eemQbiZ.png!web

首先通过 helper.php 调用 Db::connect 方法。该方法中调用 self::prarseConfig 获取数据库配置信息参数 $options 后,接着实例化 \think\db\connector\Mysql 类并返回该类的实例化对象 self::$instance[$name]

接着 helper.php 中调用 Mysql::name($name) 方法,传入的参数 $name 为表名 users

AFVzE33.png!web

因为 Mysql 类中没有 name 方法,所以调用了其父类 \think\db\Connection 类的 __call 魔术方法, __call 方法通过 getQuery 方法返回 \think\db\Query 类对象,再通过 call_user_func_array 调用 Query::name 方法。 Query::name 方法返回一个 Query 类对象

以上是 db(‘users’) 部分处理,即初始化数据库配置信息www.rsxedu.com。返回 \think\db\Query 对象。接着执行 db(‘users’)->insert([‘username’ => $username]); 。即调用 Query::insert 方法

Vbqmumy.png!web

Query::insert方法中,通过 parseExpress 方法获取配置信息后,再调用 $this->builder->insert 方法来生成 $sql 语句,此处 $this->builder 为 \think\db\builder\Mysql 类对象。最后再调用 execute 来执行生成的sql语句

所以我们最后跟进 $this->builder->insert 方法,来看看是如何生成sql语句的

22EZbu3.png!web

因为 Mysql 类继承于 Builder 类,所以最终是调用 Builder::insert 方法。该方法首先调用 parseData 方法来处理我们传入的数据,进入 switch 语句的判断,当 $val[0] 为 inc 时,调用 parseKey 方法对 $val[1] 参数,即我们的 注入payload 的存储位置进行处理,而跟进 parseKey 方法。会发现该方法只是用来解析数据,并没有对数据进行 过滤检测处理 。所以直接返回了原本的 $val[1] 然后拼接上 ‘+’ . floatval($val[2]) 。组成了参数 $result 返回给 insert 方法中的 $data 。之后就是生成 insert 语句: INSERT INTO `users` (`username`) VALUES (updatexml(1,concat(0x7e,user(),0x7e),1)+0) 。最后执行触发 报错注入 。

MKAJZHAQZKJ
关注
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
weixin_51387754的博客
12-30 4892
漏洞简介 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 模块:thinkphp 所有的主入口文件默认访问index控制器   方法:thinkphp 所有的控制器默认执行index动作   构造:http://IP/index.php(或者其它应用入口文件)?s=/模块/控制器/操作/[参数名/参数值…] 原理:控制了i
ThinkPHP5.0.9_SQL注入漏洞分析
11-28 1036
ThinkPHP5.0.9_SQL注入漏洞分析 ThinkPHP5.0.9 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $id = input('id/a'); $data = db('users')->where('id','in',$id)->select(); dump($data); } } PO
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
weixin_45866907的博客
08-28 196
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
thinkphp5漏洞sql注入
最新发布
m0_69656902的博客
08-12 209
查看后我们得知新版本进行了一个安全更新,所以是存在漏洞的,接下来我们就要根据版本更新后的补丁确定漏洞的位置。因为要先进行数据库的连接,在进入到insert中,所以我们退出来就能进入到insert方法中。但我们要看的是Builder,所以我们进入Builder中的insert。因为是parseData在处理数据,所以我们要进入parseData中。查询结果都是使用了拼接的方法,所以可能是在此处出现了问题。向下查看内容找到先前的补丁内容发现缺少内容,确定漏洞在此。查看版本更新后提交的信息,发现其修改的。
威胁快报| ThinkPHP v5漏洞攻击案例首曝光,阿里云已可告警并拦截 ...
测试0901-1
12-20 390
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析。现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响。 此次漏洞ThinkPHP v5框架代码问...
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)
黑白的博客
12-22 1277
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露 漏洞复现
ADummy的博客
02-20 1761
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露 by ADummy 0x00利用路线 ​ url直接注入—>有回显 0x01漏洞介绍 ​ ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码 0x02漏洞复现 payload: h
tp5防止sql注入mysql_【漏洞分析ThinkPHP 5.0版本 SQL注入漏洞分析
weixin_34954140的博客
01-30 993
阅读:6,774前段时间,ThinkPHP发布了V5.0.16版本的release,该版本提到了安全更新。本篇文章以此次安全更新入手,对ThinkPHP 5.0版本 SQL注入漏洞进行了详细分析。文末还有测试小问题,看看大家get到这个漏洞的精髓了吗?前言Thinkphp V5.0.16版本的release说明如下:说明中提到了安全更新,但并没有提到是什么安全问题。V5.0.16的commits记...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
但即使是成熟的框架也可能存在安全漏洞,例如文件ThinkPHP/Lib/Core/Model.class.php中的SQL注入漏洞就是一个例子,它发生在ThinkPHP3.1.3及更早的版本中。 SQL注入是一种常见的网络攻击手段,攻击者通过在数据库...
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
thinkphp5.1.39、tp5.1.39版本
06-01
此版本为tp5.1.39thinkphp5.1.39
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1182
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
ThinkPHP5.0.10_parseWhereItem导致的SQL注入漏洞分析
11-28 608
ThinkPHP5.0.10_parseWhereItem导致的SQL注入漏洞分析 ThinkPHP5.0.10 漏洞代码<?php namespace app\index\controller; class Index{ public function test01(){ $username = request()->get('username/a'); $result = db('users')->where(['username' =&gt
追洞小组 | ThinkPHP5 SQL注入漏洞&敏感信息泄露
Ms08067安全实验室
03-02 510
文章来源|MS08067 WEB攻防知识星球本文作者:叫我啊(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组一、漏洞介绍ThinkPHP是一个开源的,快速、简单的面向对象的...
ThinkPHP 5.1框架结合RCE漏洞的深入分析
systemino的博客
04-21 4556
前言 在前几个月,Thinkphp连续爆发了多个严重漏洞。由于框架应用的广泛性,漏洞影响非常大。为了之后更好地防御和应对此框架漏洞,天融信阿尔法实验室对Thinkphp框架进行了详细地分析,并在此分享给大家共同学习。 本篇文章将从框架的流程讲起,让大家对Thinkphp有个大概的认识,接着讲述一些关于漏洞的相关知识,帮助大家在分析漏洞时能更好地理解漏洞原理,最后结合一个比较好的RCE漏洞(超链...
ThinkPHP5.1反序列化漏洞
Sentiment的博客
05-20 5433
前言 在了解完tp的一些规则后,开始本篇反序列化漏洞的复现学习 安装 源码下载链接 没有composer可以去下载,傻瓜式安装即可Composer (getcomposer.org) 使用composer安装 composer create-project topthink/think=5.1.* tp 启动服务 cd tp php think run 然后就可以在浏览器中访问 http://localhost:8000 搭建成功 反序列化链分析 反序列化利用点肯定要是从__destruct()开始
攻防世界 ThinkPHP V5漏洞解析及利用)
热门推荐
Haowill的博客
04-12 1万+
ThinkPHP V5 攻防世界这道题,考察的是thinkphp V5漏洞,接下来我详细介绍一下thinkphp V5这个漏洞ThinkPHP 5漏洞简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5....
Thinkphp5 文件包含漏洞
feng的博客
03-09 1602
前言 本次漏洞存在于 ThinkPHP 模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。 创建: composer create-project topthink/think=5.0.18 thinkphp5.0.18 "require": { "php": ">=5.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值