ThinkPHP的SQL注入问题

最新推荐文章于 2024-04-27 15:40:54 发布
最新推荐文章于 2024-04-27 15:40:54 发布
阅读量5.9k 收藏 8
点赞数 3
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qsort_/article/details/109909796
版权

ThinkPHP的SQL注入问题

0x00 前言

由于之前对于PHP的了解仅限于原生PHP,因此最近利用空闲时间学习了thinkphp3和thinkphp5两个版本的框架,学习后发现两个版本差别还是挺大的,比如:
1、在tp3中Index控制器类命名为IndexController.class.php,在tp5中则为简单的Index.php
2、在tp3中的单字母函数被tp5中提供的助手函数给替代了,如模型层操作时:
在tp3中为:

M('user')->where(["username" => $username])->find();

在tp5中则为:

db('user')->where("username", $username)->find();

3、使用 /id/1001 方式传参时:
在tp3中可以从GET参数中获取:

$data = $_GET['id'];

在tp5中,则改为了使用Request对象的param()方法获取:

$data = $request -> param();

除了这些,还有很多其他的变化,这里就不一一列举了。
虽然tp3和tp5的差别很大,但是对于代码审计人员来说,语法上的差别是可以很快适应的,我们关注的重点应该是安全方面的变化。因此本篇记录下学习到的tp框架中一些常见的sql注入问题。由于刚开始学习tp框架,所以总结的可能不够全面,后面学习到新的再补充。

0x01 where()方法 + exp表达式

1.1 漏洞代码

如下是在tp3.2.5版本中的漏洞代码:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
//        $username = I('username');
        $username = $_GET['username'];
        $data = M('user')->where(["username" => $username])->select();
        dump($data);
    }
}

产生漏洞的代码是从$_GET[]数组中获取参数的,当使用I()方法获取参数时,该代码是不存在漏洞的,原因后面会讲到。

1.2 漏洞利用

1、当向上面写的controller发送的参数为username=1时,查询结果如下:
在这里插入图片描述
2、当发送的参数为 username[0]=exp&username[1]==1 or 1=1时,即可查询到user表中的所有数据:
在这里插入图片描述

1.3 漏洞原理

参考ThinkPHP3.2开发手册中对于where()方法的介绍即可知道原因:
在这里插入图片描述
由此我们可以知道在上面发送username[0]=exp&username[1]==1 or 1=1参数后,tp3会将 =1 or 1=1 字符串直接拼接到sql语句中,从而产生了注入,在后台实际执行的sql语句为:

SELECT * FROM `user` WHERE `username` =1 or 1=1

前面说到使用$username = I('username');方式接收参数时不存在漏洞,通过打断点知道,使用I()方法接收参数时,“exp”会变为“exp ”,后面多了一个空格导致表达式出错。
在这里插入图片描述

1.4 漏洞修复

如下为在tp5版本中测试的结果:
在这里插入图片描述
可以看到,tp5中的where()方法的实现发生了变化。
在tp3中的实现是只接收一个参数,参数值可以是一个一维数组,也可以是一个二维数组;
而在tp5中则是通过三个形参分别接收字段名、查询表达式、查询条件的值,从上面的调试信息中可以看到每个参数值的情况。
但通过测试发现,如果字段名的值为一个二维数组时,tp5还是会跟tp3一样将数组中的值作为查询表达式和查询条件进行解析的,但是会报如下错误:
在这里插入图片描述
在报错处设置断点调试后发现,当查询表达式为exp时,tp5会判断查询条件的值是否为Expresion类型的对象,这里没有通过判断,因此抛出异常。所以在tp5中使用上述代码是不存在注入问题的:
在这里插入图片描述
但是在tp5中使用如下代码时会存在注入问题,这种情况可以理解为就是直接进行了字符串拼接:

<?php
namespace app\index\controller;
use think\Controller;
use think\Db;
class Hello extends Controller
{
    public function sqli()
    {
        $username = input('username');
        $data = db('user')->where("username", "exp", $username)->select();
        dump($data);
    }
}

有个疑问就是这里为什么没有像上面那样抛出异常。首先可以判断的是这时的查询条件的值是Expresion类型的对象,调试后发现在如下代码处,使用raw()函数处理了查询条件:
在这里插入图片描述
raw()函数实现如下,可以看到将查询条件封装为了Expression类型的对象,因此没有抛出异常:
在这里插入图片描述

0x02 数据查询方法参数可控导致可拼接操作符

2.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,将其中的find()方法换成select()、delete()等方法也是可以的,测试多个版本后,发现在大于3.2.3的版本中该漏洞已被修复:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $username = I('username');
        $data = M('user')->find($username);
        dump($data);
    }
}

2.2 漏洞利用

1、当向上面写的controller发送的参数为username=35时,查询结果如下,可以发现查询到的数据是user表中的主键id值为35的数据。可以知道如果传给find()方法的参数值为i,则会查询对应表中的主键值为i的记录:
在这里插入图片描述
2、当发送的参数为username[where]=1=1时,看到可以查询到一条记录,该记录是我创建的user表中的第一条记录。其实这个时候已经查询到了user表中的所有记录,但由于find方法的实现中添加了limit=1的条件限制,因此每次只能查询到一条记录(如果将find()修改为select()方法,则可以返回所有记录):
在这里插入图片描述
3、还可以通过发送username[where]=1 and updatexml(1,concat(0x7e,user(),0x7e),1) 使用报错注入来进一步攻击,攻击手法很多,不多说了:
在这里插入图片描述

2.3 漏洞原理

单步调试后发现发送的请求参数是数组时,其中包含的键为where对应的值会被作为where条件拼接到sql语句中,因此产生了注入问题:
在这里插入图片描述
ThinkPHP3.2开发手册或源码中可以知道将username[where]=1=1中的where替换为order、group等操作符也是可以达到同样的攻击效果的。

2.4 漏洞修复

1、在tp3.2.4中该漏洞就被修复了,使用相同的测试代码在tp3.2.4中的测试结果如下:
在这里插入图片描述
2、调试后发现,原来在tp3.2.3中时,_parseOptions()方法会解析用户发送的数组中包含的where条件:
在这里插入图片描述
3、而在tp3.2.4中,_parseOptions()方法不但不会解析用户发送的数组中包含的where条件,而且会覆盖$options变量的值,因此用户发送的where子句将不会被拼接到sql语句中:
在这里插入图片描述

0x03 where()方法 + bind表达式 + save()方法

3.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,在大于3.2.3的版本中,如果把I()方法换成$_GET[]等同类方法时,依然存在漏洞,利用方法后面会讲到:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $id = I('id');
        $username = I('username');
        $data = M('user')->where(['id' => $id])->save(['username'=>$username]);
        dump($data);
    }
}

3.2 漏洞利用

1、如下正常访问上述的controller时,会修改user表中的id为33的username字段为admin:
在这里插入图片描述
2、当发送参数username=admin&id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1) 时,则可通过报错注入来进行攻击:
在这里插入图片描述

3.3 漏洞原理

1、该漏洞与第1章中的利用where()方法的EXP表达式进行注入的原理类似,只不过这里换成了bind表达式,下面可以看到tp3.2.3直接将上面发送的请求中的id[1]的值直接拼接到了sql的where子句中,从而造成了注入问题:
在这里插入图片描述
2、最终生成的sql语句如下,生成的sql语句进行了预编译处理,其中:0的值即为上面发送的username的值“admin”:
在这里插入图片描述

3.4 漏洞修复

1、与第1章中的修复方法一样,使用I()方法接收参数时,“bind”会变为“bind ”,多了一个空格,致使表达式匹配出错:
在这里插入图片描述
2、那么把代码改成从$_GET[]数组中获取参数呢?这时如果直接使用上面的payload会出现如下错误,发现:0占位符没被替换:
在这里插入图片描述
3、分析源码后,发现tp3.2.4在预编译绑定参数时,占位符的名字在前面拼接了字段名+下划线:
在这里插入图片描述
4、因此将payload改为username=admin&id[0]=bind&id[1]=username_0%20and%20updatexml(1,concat(0x7e,user(),0x7e),1),即可注入成功:
在这里插入图片描述
5、那么在tp5中呢,会报如下错误,通过分析发现,在tp5中,已经移除了bind表达式,因此无法利用该漏洞。
在这里插入图片描述

0x04 order()方法

4.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,在tp3.2.4中已修复:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $order = I('order');
        $data = M('user')->order($order)->select();
        dump($data);
    }
}

4.2 漏洞利用

直接发送order=updatexml(1,concat(0x7e,user(),0x7e),1) 参数,即可实现报错注入:
在这里插入图片描述

4.3 漏洞原理

原理很简单,就是将用户输入直接拼接到了order子句中:
在这里插入图片描述

4.4 漏洞修复

如下可以看到在解析order by子句时,对数组类型和其他类型都进行了校验,致使无法使用包含括号的order by子句:
在这里插入图片描述

0x05 总结

在实际的项目中:
第2种 数据查询方法参数可控导致可拼接操作符 类型的漏洞场景应该是很难遇到的,相对鸡肋。
第1种 where()方法 + exp表达式 类型的漏洞出现频率较高,应格外注意。
第3种 where()方法 + bind表达式 + save()方法 和 第4种 order()方法 偶尔也会遇到,也需要注意下。

0x06 参考文章

https://xz.aliyun.com/t/2812#toc-8
https://www.freebuf.com/vuls/236421.html

hldfight
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 1861
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
狮子鱼cms-SQL注入
weixin_46663238的博客
10-20 2118
狮子鱼CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞 FOFA语法: “/seller.php?s=/Public/login” 后台登录界面 漏洞点:ApiController.class.php public function goods_detail() { $goods_id = I('get.goods_id'); //gallery =>img_url //go...
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
最新发布
weixin_45653478的博客
04-27 690
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
thinkphp 框架原理之依赖注入和控制反转、容器
weixin_46742102的博客
05-05 1734
依赖注入和控制反转 在框架的底层设计中,需要很多类的协同工作,如果这些类之间依赖性很强,会出现许多的副作用。软件工程提倡的是高内聚,低耦合,为了降低类的耦合性,控制反转(IoC)是一种有效的设计原则,而依赖注入是控制反转的一种实现方式。 依赖注入例子: <?php /** * Created by PhpStorm. * User: 10475 * Date: 2018/8/27 * Time: 22:59 */ namespace app\demo\controller; use thin
thinkPHP3.2.3中sql注入漏洞
qq_52988816的博客
05-26 1892
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
php sql查询占位符,sql语句占位符预先编译语句tp操作方法
weixin_35479284的博客
03-10 455
sql语句占位符预先编译语句tp操作方法首页 >Mysql作者:YUKI2018年4月9日 10:49 星期一热度:563°百度已收录时间:2018-4-9 10:49热度:563°//参数绑定// Db::execute('insert into tp_data (id, name ,status) values (?, ?, ?)', [3, 'thinkphp', 1])...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
think3.2.3_sql注入分析1
08-03
总之,SQL注入是Web应用程序中的严重安全问题,尤其是在使用像ThinkPHP这样的框架时。开发人员必须时刻保持警惕,确保对用户输入进行适当的处理,以防止此类漏洞的利用。通过了解这些漏洞的工作原理,我们可以更好地...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP链1
08-03
ThinkPHP v3.2.X 反序列化漏洞与SQL注入及...总之,ThinkPHP v3.2.*的反序列化漏洞是一个严重的安全问题,可能导致SQL注入和文件读取。理解其工作原理并采取适当的安全措施至关重要,以保护应用程序免受潜在的攻击。
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
10-17
ThinkPHP3.2.3框架提供了预处理语句和参数绑定来防止SQL注入,但在这里直接使用原生SQL,开发者需要自行确保SQL语句的安全性。 总的来说,ThinkPHP3.2.3通过`query()`和`execute()`方法提供了一种灵活的方式来处理...
ThinkPHP 5.0.24 核心版
11-05
5. 数据库支持:ThinkPHP 5.0.24支持多种数据库,如MySQL、SQLite、PostgreSQL等,提供了丰富的数据库操作API,包括SQL构建、事务处理、预处理语句等功能。 6. 错误与异常处理:框架内置了完善的错误和异常处理机制...
think.php注入,依赖注入 · ThinkPHP5.0完全开发手册 · 看云
weixin_35778603的博客
03-12 486
ThinkPHP的依赖注入(也称之为控制反转)是一种较为轻量的实现,无需任何的配置,并且主要针对访问控制器进行依赖注入。可以在控制器的构造函数或者操作方法(指访问请求的方法)中类型声明任何(对象类型)依赖,这些依赖会被自动解析并注入到控制器实例或方法中。## 自动注入请求对象### 架构方法注入在控制器的架构方法中会自动注入当前请求对象,例如:~~~namespace app\index\cont...
Thinkphp5.0.15 SQL注入
feng的博客
03-05 1727
前言 刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
Thinkphp5 聚合函数 SQL注入
feng的博客
03-09 489
前言 这次的SQL注入问题在于使用了mysql的聚合函数: 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 composer create-project topthink/think=5.1.25 thinkphp5.1.25 "require": {
ThinkPHP的增、删、改、查
热门推荐
mengyun00的专栏
07-26 6万+
今天学到了对ThinkPHP的增、删、改、查的一些操作,感觉写的挺清楚的,大家一起学习一下吧! 一、创建操作 在ThinkPHP使用add方法新增数据到数据库。 使用方法如下: $User = M("User"); // 实例化User对象 $data['name'] = 'ThinkPHP'; $data['email'] = 'ThinkPHP@gmail.com'; $Us
快速解决ThinkPHP 项目中使用原生PHP导致的SQL注入问题
teari.的专栏
08-05 3975
以下三种使用原生PHP接收参数的情况进行替换为ThinkPHP框架的I方法 \$_Post\[\s*(['|"]([\S]+)['|"])\s*\] I('post.$2') \$_get\[\s*(['|"]([\S]+)['|"])\s*\] I('get.$2') \$_request\[\s*(['|"]([\S]+)['|"])\s*\] I('$2')
tp中如何防止mysql注入_thinkphp如何防止sql注入xss攻击
weixin_42327688的博客
01-19 1620
SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一...
ThinkPHP 3.1中的SQL注入漏洞分析----论ThinkPHP 3.1中的半吊子的PDO封装
老张的自言自语
04-19 434
  ThinkPHP 3.1中的SQL注入漏洞分析----论ThinkPHP 3.1中的半吊子的PDO封装   我总结ThinkPHP的PDO封装可以用买椟还珠来下结论,表面上封装了PDO支持,但实际却并没有使用到PDO的精髓部分,这不是买椟还珠是什么呢?     花了一些时间了解到ThinkPHP 3.1框架,其官方网站上对其描述得相当不错,但随着我阅读其代码,事实并不是想象...
ThinkPHP5.1.x SQL注入(orderby注入
LYJ20010728的博客
08-14 885
ThinkPHP5.1.x SQL注入(orderby注入)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Builder 类的 parseOrder 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL 注入漏洞的产生 漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think
thinkphp防止sql注入例子
06-03
为了防止SQL注入攻击,ThinkPHP提供了多种方法,例如参数绑定、数据类型检测、预处理语句等。下面是一个使用参数绑定的例子: ``` $username = input('post.username'); $password = input('post.password'); $user = Db::query('select * from users where username = ? and password = ?', [$username, $password]); if ($user) { // 登录成功 } else { // 登录失败 } ``` 上面的代码中,`$username`和`$password`是从`POST`请求中获取的,然后使用参数绑定的方式将它们绑定到SQL语句中,这样可以避免SQL注入攻击。另外,还可以使用`Db::execute`方法来执行预处理语句,例如: ``` $username = input('post.username'); $password = input('post.password'); $sth = Db::execute('select * from users where username = ? and password = ?', [$username, $password]); if ($sth->rowCount()) { // 登录成功 } else { // 登录失败 } ``` 预处理语句会在执行前进行编译,可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值