ThinkPHP的SQL注入问题

最新推荐文章于 2024-05-31 01:02:12 发布
最新推荐文章于 2024-05-31 01:02:12 发布
阅读量5.9k 收藏 8
点赞数 3
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qsort_/article/details/109909796
版权

ThinkPHP的SQL注入问题

0x00 前言

由于之前对于PHP的了解仅限于原生PHP,因此最近利用空闲时间学习了thinkphp3和thinkphp5两个版本的框架,学习后发现两个版本差别还是挺大的,比如:
1、在tp3中Index控制器类命名为IndexController.class.php,在tp5中则为简单的Index.php
2、在tp3中的单字母函数被tp5中提供的助手函数给替代了,如模型层操作时:
在tp3中为:

M('user')->where(["username" => $username])->find();

在tp5中则为:

db('user')->where("username", $username)->find();

3、使用 /id/1001 方式传参时:
在tp3中可以从GET参数中获取:

$data = $_GET['id'];

在tp5中,则改为了使用Request对象的param()方法获取:

$data = $request -> param();

除了这些,还有很多其他的变化,这里就不一一列举了。
虽然tp3和tp5的差别很大,但是对于代码审计人员来说,语法上的差别是可以很快适应的,我们关注的重点应该是安全方面的变化。因此本篇记录下学习到的tp框架中一些常见的sql注入问题。由于刚开始学习tp框架,所以总结的可能不够全面,后面学习到新的再补充。

0x01 where()方法 + exp表达式

1.1 漏洞代码

如下是在tp3.2.5版本中的漏洞代码:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
//        $username = I('username');
        $username = $_GET['username'];
        $data = M('user')->where(["username" => $username])->select();
        dump($data);
    }
}

产生漏洞的代码是从$_GET[]数组中获取参数的,当使用I()方法获取参数时,该代码是不存在漏洞的,原因后面会讲到。

1.2 漏洞利用

1、当向上面写的controller发送的参数为username=1时,查询结果如下:
在这里插入图片描述
2、当发送的参数为 username[0]=exp&username[1]==1 or 1=1时,即可查询到user表中的所有数据:
在这里插入图片描述

1.3 漏洞原理

参考ThinkPHP3.2开发手册中对于where()方法的介绍即可知道原因:
在这里插入图片描述
由此我们可以知道在上面发送username[0]=exp&username[1]==1 or 1=1参数后,tp3会将 =1 or 1=1 字符串直接拼接到sql语句中,从而产生了注入,在后台实际执行的sql语句为:

SELECT * FROM `user` WHERE `username` =1 or 1=1

前面说到使用$username = I('username');方式接收参数时不存在漏洞,通过打断点知道,使用I()方法接收参数时,“exp”会变为“exp ”,后面多了一个空格导致表达式出错。
在这里插入图片描述

1.4 漏洞修复

如下为在tp5版本中测试的结果:
在这里插入图片描述
可以看到,tp5中的where()方法的实现发生了变化。
在tp3中的实现是只接收一个参数,参数值可以是一个一维数组,也可以是一个二维数组;
而在tp5中则是通过三个形参分别接收字段名、查询表达式、查询条件的值,从上面的调试信息中可以看到每个参数值的情况。
但通过测试发现,如果字段名的值为一个二维数组时,tp5还是会跟tp3一样将数组中的值作为查询表达式和查询条件进行解析的,但是会报如下错误:
在这里插入图片描述
在报错处设置断点调试后发现,当查询表达式为exp时,tp5会判断查询条件的值是否为Expresion类型的对象,这里没有通过判断,因此抛出异常。所以在tp5中使用上述代码是不存在注入问题的:
在这里插入图片描述
但是在tp5中使用如下代码时会存在注入问题,这种情况可以理解为就是直接进行了字符串拼接:

<?php
namespace app\index\controller;
use think\Controller;
use think\Db;
class Hello extends Controller
{
    public function sqli()
    {
        $username = input('username');
        $data = db('user')->where("username", "exp", $username)->select();
        dump($data);
    }
}

有个疑问就是这里为什么没有像上面那样抛出异常。首先可以判断的是这时的查询条件的值是Expresion类型的对象,调试后发现在如下代码处,使用raw()函数处理了查询条件:
在这里插入图片描述
raw()函数实现如下,可以看到将查询条件封装为了Expression类型的对象,因此没有抛出异常:
在这里插入图片描述

0x02 数据查询方法参数可控导致可拼接操作符

2.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,将其中的find()方法换成select()、delete()等方法也是可以的,测试多个版本后,发现在大于3.2.3的版本中该漏洞已被修复:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $username = I('username');
        $data = M('user')->find($username);
        dump($data);
    }
}

2.2 漏洞利用

1、当向上面写的controller发送的参数为username=35时,查询结果如下,可以发现查询到的数据是user表中的主键id值为35的数据。可以知道如果传给find()方法的参数值为i,则会查询对应表中的主键值为i的记录:
在这里插入图片描述
2、当发送的参数为username[where]=1=1时,看到可以查询到一条记录,该记录是我创建的user表中的第一条记录。其实这个时候已经查询到了user表中的所有记录,但由于find方法的实现中添加了limit=1的条件限制,因此每次只能查询到一条记录(如果将find()修改为select()方法,则可以返回所有记录):
在这里插入图片描述
3、还可以通过发送username[where]=1 and updatexml(1,concat(0x7e,user(),0x7e),1) 使用报错注入来进一步攻击,攻击手法很多,不多说了:
在这里插入图片描述

2.3 漏洞原理

单步调试后发现发送的请求参数是数组时,其中包含的键为where对应的值会被作为where条件拼接到sql语句中,因此产生了注入问题:
在这里插入图片描述
ThinkPHP3.2开发手册或源码中可以知道将username[where]=1=1中的where替换为order、group等操作符也是可以达到同样的攻击效果的。

2.4 漏洞修复

1、在tp3.2.4中该漏洞就被修复了,使用相同的测试代码在tp3.2.4中的测试结果如下:
在这里插入图片描述
2、调试后发现,原来在tp3.2.3中时,_parseOptions()方法会解析用户发送的数组中包含的where条件:
在这里插入图片描述
3、而在tp3.2.4中,_parseOptions()方法不但不会解析用户发送的数组中包含的where条件,而且会覆盖$options变量的值,因此用户发送的where子句将不会被拼接到sql语句中:
在这里插入图片描述

0x03 where()方法 + bind表达式 + save()方法

3.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,在大于3.2.3的版本中,如果把I()方法换成$_GET[]等同类方法时,依然存在漏洞,利用方法后面会讲到:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $id = I('id');
        $username = I('username');
        $data = M('user')->where(['id' => $id])->save(['username'=>$username]);
        dump($data);
    }
}

3.2 漏洞利用

1、如下正常访问上述的controller时,会修改user表中的id为33的username字段为admin:
在这里插入图片描述
2、当发送参数username=admin&id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1) 时,则可通过报错注入来进行攻击:
在这里插入图片描述

3.3 漏洞原理

1、该漏洞与第1章中的利用where()方法的EXP表达式进行注入的原理类似,只不过这里换成了bind表达式,下面可以看到tp3.2.3直接将上面发送的请求中的id[1]的值直接拼接到了sql的where子句中,从而造成了注入问题:
在这里插入图片描述
2、最终生成的sql语句如下,生成的sql语句进行了预编译处理,其中:0的值即为上面发送的username的值“admin”:
在这里插入图片描述

3.4 漏洞修复

1、与第1章中的修复方法一样,使用I()方法接收参数时,“bind”会变为“bind ”,多了一个空格,致使表达式匹配出错:
在这里插入图片描述
2、那么把代码改成从$_GET[]数组中获取参数呢?这时如果直接使用上面的payload会出现如下错误,发现:0占位符没被替换:
在这里插入图片描述
3、分析源码后,发现tp3.2.4在预编译绑定参数时,占位符的名字在前面拼接了字段名+下划线:
在这里插入图片描述
4、因此将payload改为username=admin&id[0]=bind&id[1]=username_0%20and%20updatexml(1,concat(0x7e,user(),0x7e),1),即可注入成功:
在这里插入图片描述
5、那么在tp5中呢,会报如下错误,通过分析发现,在tp5中,已经移除了bind表达式,因此无法利用该漏洞。
在这里插入图片描述

0x04 order()方法

4.1 漏洞代码

如下是在tp3.2.3版本中的漏洞代码,在tp3.2.4中已修复:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
    public function sqli()
    {
        $order = I('order');
        $data = M('user')->order($order)->select();
        dump($data);
    }
}

4.2 漏洞利用

直接发送order=updatexml(1,concat(0x7e,user(),0x7e),1) 参数,即可实现报错注入:
在这里插入图片描述

4.3 漏洞原理

原理很简单,就是将用户输入直接拼接到了order子句中:
在这里插入图片描述

4.4 漏洞修复

如下可以看到在解析order by子句时,对数组类型和其他类型都进行了校验,致使无法使用包含括号的order by子句:
在这里插入图片描述

0x05 总结

在实际的项目中:
第2种 数据查询方法参数可控导致可拼接操作符 类型的漏洞场景应该是很难遇到的,相对鸡肋。
第1种 where()方法 + exp表达式 类型的漏洞出现频率较高,应格外注意。
第3种 where()方法 + bind表达式 + save()方法 和 第4种 order()方法 偶尔也会遇到,也需要注意下。

0x06 参考文章

https://xz.aliyun.com/t/2812#toc-8
https://www.freebuf.com/vuls/236421.html

hldfight
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于PHP的SQL注入详解
herion_liu的博客
11-16 1万+
什么是SQL注入?就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 例如一个简单的登录表单(这里把密码写成明文方便说明): 当在表单中填写这样的语句进行提交登录时会出现这样的SQL语句select * from t_admin where admin_name='xxx' and admin_pwd='xxx'' or '1'
PHP SQL注入
qpmglj的专栏
04-23 658
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 1888
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3437
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP3.2.3代码审计之sql注入
最新发布
2301_79724395的博客
05-31 806
对于这个修复,说实话我很难理解是怎么实现修复的,只能去看别人的解释,首先造成我们漏洞原因就是用户的输入被带到了危险执行的地方,在我们这里,option就是相当于用户的输入,我们可以控制,而获取我们的sql语句的时候,也是根据option来控制的,而这个修复的话,其实就是要我们理解一下。我们回忆一下,这个漏洞关键是我们exp可控,导致我们在build我们sql语句的时候,可以根据对exp的控制,满足我们的if条件控制我们的sql语句,当然我们看到还有许许多多的解析,那他们能利用吗?
think PHP6 sql注入 XSS攻击 CSRF攻击
amateur12的博客
12-19 1493
composer下载: composer require ezyang/htmlpurifier 此方法放入common里,作为公共函数,随时调用,用来过滤信息 //过滤 xss if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1096
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP如何防止SQL注入攻击
JimWen's Blog
12-28 1077
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP中使用参数绑定的一些建议。
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
think3.2.3_sql注入分析1
08-03
总之,SQL注入是Web应用程序中的严重安全问题,尤其是在使用像ThinkPHP这样的框架时。开发人员必须时刻保持警惕,确保对用户输入进行适当的处理,以防止此类漏洞的利用。通过了解这些漏洞的工作原理,我们可以更好地...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP链1
08-03
ThinkPHP v3.2.X 反序列化漏洞与SQL注入及...总之,ThinkPHP v3.2.*的反序列化漏洞是一个严重的安全问题,可能导致SQL注入和文件读取。理解其工作原理并采取适当的安全措施至关重要,以保护应用程序免受潜在的攻击。
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
10-17
ThinkPHP3.2.3框架提供了预处理语句和参数绑定来防止SQL注入,但在这里直接使用原生SQL,开发者需要自行确保SQL语句的安全性。 总的来说,ThinkPHP3.2.3通过`query()`和`execute()`方法提供了一种灵活的方式来处理...
ThinkPHP 5.0.24 核心版
11-05
5. 数据库支持:ThinkPHP 5.0.24支持多种数据库,如MySQL、SQLite、PostgreSQL等,提供了丰富的数据库操作API,包括SQL构建、事务处理、预处理语句等功能。 6. 错误与异常处理:框架内置了完善的错误和异常处理机制...
thinkphp 框架原理之依赖注入和控制反转、容器
weixin_46742102的博客
05-05 1767
依赖注入和控制反转 在框架的底层设计中,需要很多类的协同工作,如果这些类之间依赖性很强,会出现许多的副作用。软件工程提倡的是高内聚,低耦合,为了降低类的耦合性,控制反转(IoC)是一种有效的设计原则,而依赖注入是控制反转的一种实现方式。 依赖注入例子: <?php /** * Created by PhpStorm. * User: 10475 * Date: 2018/8/27 * Time: 22:59 */ namespace app\demo\controller; use thin
狮子鱼cms-SQL注入
weixin_46663238的博客
10-20 2125
狮子鱼CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞 FOFA语法: “/seller.php?s=/Public/login” 后台登录界面 漏洞点:ApiController.class.php public function goods_detail() { $goods_id = I('get.goods_id'); //gallery =>img_url //go...
PHP安全与漏洞,防止SQL注入(一)
Sparks550的博客
11-23 1156
dada
thinkphp】TP5的依赖注入/容器/门面的最基础概念和用法
cherry_boat的博客
10-28 2079
o(* ̄▽ ̄*)ブ
SQL注入6之提交方式注入
weixin_56218159的博客
05-28 467
免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献 ...
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
thinkphp防止sql注入例子
06-03
为了防止SQL注入攻击,ThinkPHP提供了多种方法,例如参数绑定、数据类型检测、预处理语句等。下面是一个使用参数绑定的例子: ``` $username = input('post.username'); $password = input('post.password'); $user = Db::query('select * from users where username = ? and password = ?', [$username, $password]); if ($user) { // 登录成功 } else { // 登录失败 } ``` 上面的代码中,`$username`和`$password`是从`POST`请求中获取的,然后使用参数绑定的方式将它们绑定到SQL语句中,这样可以避免SQL注入攻击。另外,还可以使用`Db::execute`方法来执行预处理语句,例如: ``` $username = input('post.username'); $password = input('post.password'); $sth = Db::execute('select * from users where username = ? and password = ?', [$username, $password]); if ($sth->rowCount()) { // 登录成功 } else { // 登录失败 } ``` 预处理语句会在执行前进行编译,可以有效地防止SQL注入攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值