ctfshow ThinkPHP篇573

最新推荐文章于 2023-12-29 19:49:39 发布
最新推荐文章于 2023-12-29 19:49:39 发布
阅读量846 收藏 1
点赞数 1
分类专栏: CTFSHOW web入门系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/119424071
版权

web573

thinkphp 3.2.3sql注入漏洞
源代码

class IndexController extends Controller {
    public function index(){
    $a=M('xxx');  //表名
    $id=I('GET.id');
    $b=$a->find($id);
    var_dump($b);
    }
}

来调试一下看为什么普通的注入不行。本地sql表内数据如下。
在这里插入图片描述
传入?id=1'
首先在I函数里面有个过滤,调用think_filter函数
在这里插入图片描述
在这里插入图片描述
但是没什么影响,就算匹配到了最多加个空格。
跟进find函数,在find函数中_parseOptions$options进行了处理,继续跟进
在这里插入图片描述

_parseType$options进行了处理,跟进
在这里插入图片描述
可以看到如果我们的数据库中的id是int型会进入intval函数,会直接去掉其他字符达到过滤的效果,如果id的类型是char则会接着往下走。
在这里插入图片描述
执行完_parseType后回到find中的select
在这里插入图片描述
跟进buildSelectSql
在这里插入图片描述
跟进parseSql
在这里插入图片描述

我们知道我们的id的值在$options[‘where’]中,跟进parseWhere
在这里插入图片描述
最终是进到了parseValue
在这里插入图片描述
在parseValue中中我们看到了具体的转义函数
在这里插入图片描述
在这里插入图片描述
也就是通过addslashes()函数进行转义

addslashes() 函数会在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(')
双引号(")
反斜杠(\)
NULL

那么假设我们传入的内容是数组呢?id[where]=1'
当我们传入的是数组时,不会进入下面的if中,所以$options['where']="1'",否则的话就是
$options['where']['id']="1'"

在这里插入图片描述
按照刚才的方式往下走到_parseOptions,如果我们的$options['where']是数组的话会进入_parseType,我们前面说到,现在的$options['where']="1'"是个字符串,也就不会进入这个if,所以当目标数据库中的id字段是int型时可以绕过intval过滤。
在这里插入图片描述
接着往后走,直接在parsewhere中进入if$whereStr = $where; 最终返回的内容是WHERE 1'在这里插入图片描述
在这里插入图片描述
最终执行的sql语句是select * from xxx where 1' limit 1 这样我们的单引号就保留了下来。
在这里插入图片描述
剩下的就很简单了。
payload:?id[where]=id=0 union select 1,flag4s,3,4 from flags
前面的跑表名和列名就不具体写了。

yu22x
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshowThinkphp
灰太的表格的博客
08-24 193
web569 web570 /index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*"); 闭包路由:参考官方文档或博客 web571 给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下: 接着跟进去: 接着跟进: 我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便): 往下走: 成功找到后门,conten
thinkphp漏洞检测工具
06-06
ThinkPHP漏洞检测工具详解》 ThinkPHP是中国最流行的PHP框架之一,因其强大的功能和易用性深受开发者喜爱。然而,任何软件系统都可能存在安全漏洞,ThinkPHP也不例外。为了保障Web应用的安全,开发者和安全专家们...
ctfshow-thinkphp
giaogiao123的博客
08-23 889
基础知识 关于thinkphp需要知道的基本知识 https://www.kancloud.cn/manual/thinkphp/1696 demo1 修改 D:\phpStudy\PHPTutorial\WWW\thinkphp-3.2\thinkphp-3.2\Application\Home\Controller\IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class Inde
ctfshow ThinkPHP575
羽的博客
08-05 772
web575 给了源码 $user= unserialize(base64_decode(cookie('user'))); if(!$user || $user->id!==$id){ $user = M('Users'); $user->find(intval($id)); cookie('user',base64_encode(serialize($user->data()))); } $this->show($user->username); } 首先引起注意的
CTFshow——thinkphp专题
D.MIND 的博客
06-12 1598
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
ctfshow thinkphp专题
qq_50589021的博客
10-13 702
前言 跟进一步增强php的代码审计能力,了解tp框架 从最基础的开始学习,目的不是为了一把梭,而是要明白它的原理和设计思路,为我们以后自主调试挖洞打下基础 web569——路由 本题使用的版本为3.2.3 ThinkPHP3.2.3完全开发手册-架构-URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 payload
Thinkphp 使用Dompdf
06-08
Thinkphp 使用Dompdf
ThinkPHP6.pdf
06-03
Thinkphp6入门到实战
thinkPHP学习笔记之安装配置
10-24
主要介绍了一款国产MVC框架thinkPHP,这里讲诉的是thinkphp的安装与配置,以及一个简单实例,有需要的小伙伴可以参考下。
thinkphp学习笔记入门到深入
11-10
ThinkPHP学习笔记入门到深入ThinkPHP是一款基于PHP的开源快速开发框架,它以其简洁的代码结构、高效的性能和强大的功能深受开发者喜爱。这笔记涵盖了从基础到深入的多个方面,旨在帮助初学者迅速掌握...
ctfshow ThinkPHP—3.2.3(569-578)
羽的博客
08-05 1828
文章目录web569相关内容题解web570web571web572web573web574web575web576web577web578 web569 相关内容 参考thinkphp手册 为了访问下图中的index方法并输出hello 123我们可以通过下面四种模式。 PATHINFO模式 http://localhost/index.php/Home/Index/index/name/123/ 普通模式 http://localhost/index.php?m=Home&c=Index&a
ctfshow ThinkPHP专题 1
qq_61768489的博客
07-23 736
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
ctfshow web入门(thinkphp专题)
qq_53263789的博客
02-09 749
569 URL模式 查阅手册:URL模式 · ThinkPHP3.2.3完全开发手册 http://serverName/index.php/模块/控制器/操作 payload: 普通模式:/?m=Admin&c=Login&a=ctfshowLogin Pathinfo模式:/index.php/Admin/Login/ctfshowLogin 兼容模式:/?s=/Admin/Login/ctfshowLogin 570 路由 发现路由: 根据手册: 直接构造:这里直接执行不可以
ctfshow thinkphp 3.2.3
blowed的博客
05-04 255
web569 相关内容 参考thinkphp手册 路由方式 http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web 570 根据题目提示 就直接看官方文档 路由一块 看到了闭包函数 .
【Web】Ctfshow Thinkphp3.2.3代码审计(4)
uuzeray的博客
12-28 1106
这里是从cookie里读user键对应的值进行反序列化,并将实例化对象与传入的id比较,如果id属性与传入的id相等,则show方法调用底层的eval执行实例化对象的username属性。因此,确保在进行反序列化之前,你需要确保序列化的类定义存在,并且能够被自动加载或手动引入。这里令$name=_content,$from=写的马即可让$_content非空,从而eval()执行php代码。这次where()里直接传了一个数组,省得走if将字符串的值再改为_string的数组了。
Ctfshow web入门 thinkphp专题
feng的博客
04-25 3375
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
【Web】Ctfshow Thinkphp3.2.3代码审计(2)
uuzeray的博客
12-25 340
这段代码的作用是根据数据库字段类型的定义,对数据进行相应的类型转换,以确保数据的类型与数据库字段类型匹配,从而提高数据的准确性和一致性。比如数据库中的id是int型会进入intval函数,你输入1' union select * # 转换后就成了1。因为$options['where']是一个数组,所以会从if进入_parseType。其实很明显就是让$options['where']不为数组就可以了。所以要用一些路子,不进入到下面的if判断里。因为1是number,所以会让。这是我们不愿意看到的。
【Web】Ctfshow Thinkphp5 非强制路由RCE漏洞
最新发布
uuzeray的博客
12-29 1013
前面审了一些tp3的sql注入,终于到tp5了,要说tp5那最经典的还得是rce下面介绍非强制路由RCE漏洞。
ctfshow thinkphp
08-28
对于thinkphpCTF演示,可以分享一些基本的信息和注意事项: 1. ThinkPHP是一款基于PHP语言开发的开源框架,被广泛应用于Web开发中。 2. 在CTF比赛中,可能会出现与ThinkPHP相关的题目,例如利用ThinkPHP的漏洞进行渗透、代码审计等。 3. 常见的一些ThinkPHP漏洞包括:SQL注入、远程代码执行、文件上传漏洞等,参赛选手可以针对这些漏洞进行挑战。 4. 在解决ThinkPHP题目时,可以通过查阅官方文档、了解框架的特性和安全机制,以及使用一些常见的安全工具(如静态代码分析工具、漏洞扫描工具等)来辅助解题。 5. 注意在CTF比赛中遵守竞赛规则和法律法规,不得在未授权的系统上进行渗透测试或攻击行为。 希望以上信息对你有所帮助!如有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值