Thinkphp 5.1.17 SQL注入

最新推荐文章于 2024-08-17 22:58:35 发布
原创 最新推荐文章于 2024-08-17 22:58:35 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #thinkphp #sql注入 #web安全

前言

之前审计的是5.0.15的parseData函数漏洞导致的SQL注入。这次审的是5.1.17的parseArrayData函数漏洞导致的SQL注入。影响版本:
5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

composer create-project  topthink/think=5.1.17 thinkphp5.1.17

然后改一下composer.json,再composer update就好了。
在这里插入图片描述
然后设置一下database.php:
在这里插入图片描述

index控制器里面写update:

public function index()
{
   
   
    $username = request()->get('username');//以数组的格式获取$_GET中的username变量,然后作为参数传入insert()
    db('users')->where(['id' => 15])->update(['username' => $username]);
    return 'Update success';
}

分析

这次是update注入。还是老套路,先把/a给去掉,正常的走一遍update,看看thinkphp是怎么处理的。

?username=111

先跟进一下where()方法:
在这里插入图片描述
$param先获得一个数组作为元素,即['id'=>15],然后再把它弹出去,没什么用。
跟进parseWhereExp()方法,在这里return:
在这里插入图片描述
主要就是对$this->options['where']进行了处理:
在这里插入图片描述
再跟进update方法:
在这里插入图片描述
parseOptions主要就是影响options,产生很多无用的键,增加了'table'=>'users'这个键。然后把这个数组给$this->options['data']
在这里插入图片描述
再跟进$this->connection->update()方法,在这里产生SQL语句:
在这里插入图片描述
再跟进一下这个$this->builder->update()方法,看一下SQL语句的产生:

/**
 * 生成update SQL
 * @access public
 * @param  Query     $query  查询对象
 * @return string
 */
public function update(Query $query)
{
   
   
    $options = $query->getOptions();

    $table = $this->parseTable($query, $options['table']);
    $data  = $this->parseData($query, $options['data']);

    if (empty($data)) {
   
   
        return '';
    }

    foreach ($data as $key => $val) {
   
   
        $set[] = $key . ' = ' . $val;
    }

    'UPDATE %TABLE% SET %SET%%JOIN%%WHERE%%ORDER%%LIMIT% %LOCK%%COMMENT%';
    return str_replace(
        ['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'],
        [
            $this->parseTable($query, $options['table']),
            implode(' , ', $set),
            $this->parseJoin($query, $options['join']),
            $this->
最低0.47元/天 解锁文章
ThinkPHP5.1.C+CmsEasy-SQL注入
m0_67441173的博客
08-11 1576
用户可控数据未经过滤,传入 Query 类的 max 方法进行聚合查询语句构造,接着调用本类的 aggregate 方法,本次漏洞问题正是发生在该函数底层代码中,所以所有调用该方法的聚合方法均存在 SQL 注入问题,我们看到 aggregate 方法又调用了 Mysql 类的 aggregate 方法,在该方法中,我们可以明显看到程序将用户可控变量 $field 经过 parseKey 方法处理后,与 SQL 语句进行了拼接。Builder类下的select方法:重点看对字段的处理,也就是重点看。
ThinkPHP5.1.x SQL注入(update方法)
LYJ20010728的博客
08-13 1592
ThinkPHP5 SQL注入(update方法)漏洞概要初始配置 漏洞概要 本次漏洞存在于 Mysql 类的 parseArrayData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用) 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think tpd
ThinkPHP5 SQL注入(select方法)
LYJ20010728的博客
08-13 2692
ThinkPHP5 SQL注入(select方法)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: ThinkPHP5全版本 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think=5.1 tpH3rmesk1t 将 c
ThinkPHPSQL注入问题
hldfight
11-22 7417
ThinkPHP常见SQL注入问题0x00 前言0x01 where()方法 + exp表达式1.1 漏洞代码1.2 漏洞利用1.3 漏洞原理1.4 漏洞修复0x02 数据查询方法参数可控导致可拼接操作符2.1 漏洞代码2.2 漏洞利用2.3 漏洞原理2.4 漏洞修复0x03 where()方法 + bind表达式 + save()方法3.1 漏洞代码3.2 漏洞利用3.3 漏洞原理3.4 漏洞修复0x04 order()方法4.1 漏洞代码4.2 漏洞利用4.3 漏洞原理4.4 漏洞修复0x05 参考文章
ThinkPHP5.0.x SQL注⼊
LYJ20010728的博客
08-09 1530
ThinkPHP5.0.x SQL注⼊初始配置漏洞利用漏洞分析漏洞描述ThinkPHP5.0.x目录结构Payload说明Application\index\controller\Index.php补充代码说明本地代码审计漏洞修复 初始配置 这里利用ThinkPHP5.0.14做示例,戳此进行下载 下载后的源码中,需要对Application\index\controller\Index.php内容进行修改 <?php namespace app\index\controller; use t
ThinkPHPSQL注入漏洞学习
m0_61858762的博客
08-17 1150
ThinkPHPSQL注入漏洞学习
ThinkPHP5.0.10 SQL注入
LYJ20010728的博客
08-13 1110
ThinkPHP5.0.10 SQL注入漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句;再一个, Request 类的 filterValue 方法漏过滤 NOT LIKE 关键字,最终导致 SQL注入漏洞的产生 漏洞影响版本: ThinkPHP=5.0.10 初始配置 获取测试环境代码 composer create-project --pref
thinkphpsql注入,入侵
09-28 986
在index.php入口文件的最上面增加 function sql2($value) { //过滤参数 $arr = explode('|', 'UPDATEXML|UPDATE|WHERE|EXEC|INSERT|SELECT|DELETE|COUNT|CHR|MID|MASTER|TRUNCATE|DECLARE|BIND|DROP|CREATE| EXP |EXP%| OR |XOR| LIKE |NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 870
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1690
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
Thinkphp5.0.17小程序商城整站
05-25
Thinkphp5.0.17小程序商城整站,前后端。环境要求,php5.6+,mysql5+ 在mysql5.7会有点小问题,建议mysql5.6
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
sql注入实战——thinkPHP
Sesessep的博客
08-11 1758
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
ThinkPHP5.0.x框架SQL注入
热门推荐
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
thinkphp5漏洞sql注入
m0_69656902的博客
08-12 599
查看后我们得知新版本进行了一个安全更新,所以是存在漏洞的,接下来我们就要根据版本更新后的补丁确定漏洞的位置。因为要先进行数据库的连接,在进入到insert中,所以我们退出来就能进入到insert方法中。但我们要看的是Builder,所以我们进入Builder中的insert。因为是parseData在处理数据,所以我们要进入parseData中。查询结果都是使用了拼接的方法,所以可能是在此处出现了问题。向下查看内容找到先前的补丁内容发现缺少内容,确定漏洞在此。查看版本更新后提交的信息,发现其修改的。
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1263
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.215.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP5.1.17代码审计【SQL注入
D.MIND 的博客
05-05 750
文章目录简介:环境搭建正常流程走一次不正常流程走一次payload:修复 简介: 在parseArrayData() 中出现可控制的拼接情况,从而导致 SQL注入 漏洞( update 方法注入) 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。 环境搭建 利用composer下载5.1.17版本的源码 composer create-project topthink/think=5.1.17 thinkphp5.1.17 到compos
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 2217
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
ThinkPHP5漏洞分析之SQL注入(四)
Jeromeyoung
01-06 1059
代码分析,重在一个思考。写代码分析流程,重在记录思考。共勉。
thinkphpsql注入
最新发布
03-14
<think>好的,我现在要处理用户关于ThinkPHP框架中SQL注入漏洞及防御措施的问题。首先,我需要回顾用户提供的引用内容,特别是引用2、3、4、5,这些直接涉及ThinkPHPSQL注入的内容。用户希望了解漏洞的具体情况以及如何防护。 首先,我需要整理ThinkPHP中常见的SQL注入漏洞类型。根据引用2和3,ThinkPHP可能存在查询构造器误用、表达式注入、参数绑定遗漏等问题。比如,使用字符串拼接而非参数绑定容易导致注入,尤其是在exp方法处理用户输入时,如果没有严格过滤,可能引入恶意代码。 接下来是防御措施。根据引用4和5,使用参数绑定和预处理语句是关键,这能有效防止SQL注入。此外,过滤输入、避免直接拼接SQL也很重要。引用2提到及时更新框架版本,修复已知漏洞,这也是防御的重要步骤。 然后,我需要结合用户提供的引用,确保回答中的每个点都有对应的支持。例如,在漏洞部分,每个类型都应引用对应的文献,如引用2、3等。防御措施部分则引用4、5以及框架的最佳实践。 还要注意用户提到的系统级指令,比如数学公式的格式,但这个问题主要涉及代码和文字描述,可能不需要数学公式。但需要确保代码块正确使用反引号,并且结构清晰。同时,生成相关问题,可能涉及ThinkPHP的其他漏洞或具体防护步骤。 最后,检查引用是否正确标注,回答是否符合中文要求,结构是否清晰。需要分点说明漏洞和防御措施,帮助用户逐步理解问题。可能还需要提醒用户注意框架版本更新,参考官方文档等。</think>### ThinkPHP SQL注入漏洞及防御措施 #### 一、ThinkPHP框架中SQL注入漏洞类型 1. **查询构造器误用导致注入** 使用字符串拼接方式构造查询条件时,若未正确过滤用户输入,可能触发漏洞。例如: ```php $username = $_GET['name']; $user = Db::query("SELECT * FROM users WHERE name = '$username'"); ``` 若`$username`包含恶意字符如`' OR 1=1 -- `,将导致SQL语句被篡改[^5][^4]。 2. **表达式注入漏洞(exp方法滥用)** 使用`exp`方法直接处理用户输入时,未严格校验参数可能导致注入: ```php $where['exp'] = "id = ".$_GET['id']; Db::name('user')->where($where)->select(); ``` 攻击者可构造`id=1 OR SLEEP(5)`实现时间盲注[^2][^3]。 3. **参数绑定遗漏** 在复杂查询中若遗漏参数绑定,直接拼接用户输入: ```php $order = input('order'); Db::name('data')->order($order)->select(); ``` 攻击者可通过`order=id ASC,(SELECT 1 FROM (SELECT SLEEP(5))a)`触发注入[^3]。 --- #### 二、防御措施 1. **强制使用参数绑定** 所有SQL语句中的变量必须通过预处理绑定: ```php Db::name('user')->where('name = :name')->bind(['name' => $username])->select(); ``` 此方法通过参数化查询分离代码与数据,彻底杜绝注入。 2. **严格过滤输入数据** - 使用`filter_var()`验证数据类型 - 对字符串类型参数进行转义: ```php $filtered = htmlspecialchars($_GET['param'], ENT_QUOTES); ``` 3. **禁用危险方法** 避免直接使用`execute()`执行原生SQL,若必须使用则严格限制参数格式: ```php Db::execute("UPDATE table SET field=? WHERE id=?", [$value, $id]); ``` 4. **框架安全配置** - 开启`config/database.php`中的`params_bind`参数 - 设置`auto_param_bind=true`自动绑定参数 5. **及时更新框架版本** ThinkPHP 5.0.24+ 修复了`exp`注入漏洞,6.0版本重构了查询构造器[^3]。应保持框架为最新稳定版。 --- #### 三、验证防护效果示例 ```php // 安全查询示例 $id = input('id/d'); // 强制转换为整型 Db::name('user')->where('id', $id)->find(); // 带过滤的复杂查询 $keywords = addslashes(input('keywords')); Db::name('article')->where('title LIKE "%'.$keywords.'%"')->select(); ``` ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值