Thinkphp 5.0.15 设计缺陷导致Insert/update-SQL注入 分析

最新推荐文章于 2023-01-06 19:04:41 发布
最新推荐文章于 2023-01-06 19:04:41 发布
阅读量477 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/litlife/p/11273652.html
版权

分析

与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。

由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。

上一个漏洞点存在于处理where语句的parseWhere()处,而这个点则在处理insert和set的data的parseData()处。

本文以insert为例,首先payload如下:

http://127.0.0.1/thinkphp/thinkphp_5.0.15_full/public/index.php/index/index/sqli?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1

1077935-20190731003404333-740161248.png

15行,以数组的格式获取$_GET中的username变量,然后作为参数传入insert(),跟进一下

1077935-20190731003412116-786307735.png

parseExpress在这里主要就是把表名放到$options['table']中,用于后面拼装SQL语句。$data在这里就是['name'=>$_GET['username']]。

到2085行,跟进insert函数,这个函数用来拼接整条SQL语句

1077935-20190731003428575-1855867173.png

首先调用parseData()来解析$data,跟进一下

1077935-20190731003433998-1991100588.png

这里经过101行的foreach,在119行将我们的payload拼接到了$result[$item]中,继续往下看

1077935-20190731003438629-219278030.png

这里直接返回了$result。回到insert(),在728行将parseData()返回的$data拼接到整条SQL语句中,最后返回完整的SQL语句。

1077935-20190731003442682-306502820.png

回到最外层的insert()

1077935-20190731003449271-914702527.png

2094行直接执行了insert()返回的SQL语句。

转载于:https://www.cnblogs.com/litlife/p/11273652.html

weixin_30532973
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP5.0.9_SQL注入漏洞分析
11-28 1020
ThinkPHP5.0.9_SQL注入漏洞分析 ThinkPHP5.0.9 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $id = input('id/a'); $data = db('users')->where('id','in',$id)->select(); dump($data); } } PO
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1173
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
thinkphp5 两个控制器传参数_Thinkphp 5.1.7 parseData缺陷导致insert/update注入 分析
weixin_39861882的博客
01-07 100
环境搭建$ composer create-project topthink/think thinkphp-5.1.7修改composer.json 5.1.* => 5.1.7$ composer update分析这个注入点与5.0.15的注入点位置都在parseData里,都是在解析set-data时直接将用户完全控制的data拼接到SQL语句中。下面来看漏洞点,首先根据Git...
[漏洞分析]thinkphp 5.1.25 insert、insetAll、update方法注入
weixin_30951743的博客
11-15 458
0x00 前言 这个洞,早在9月29号的时候我提交给先知,那时候tp还是5.1.25的版本,天还很蓝,我也还很年轻。时至今日这个洞依旧没有审核,而tp在这期间都已经更新到了5.1.29。在最近我去跟踪的时候,发现这个洞在5.1.26版本被修复了。好吧,既然修复了,那就公开吧,我博客也好久没有漏洞类文章了。所以说做人还是不能太向钱,有漏洞为什么不直接提给厂商呢?为什么不公...
Thinkphp 5.1.7 parseData缺陷导致insert/update注入 分析
weixin_30952103的博客
08-01 148
目录 环境搭建 分析 参考 环境搭建 $ composer create-project topthink/think thinkphp-5.1.7 修改composer.json 5.1.* => 5.1.7 $ composer update 分析 这个注入点与...
thinkphp mysql exp_ThinkPHP框架 5.0.x sql注入漏洞分析
weixin_31635881的博客
02-11 360
作者:chybeta来源:先知安全社区前言漏洞复现搭建好数据库,以我自己的配置为例。数据库为tptest,表名为user,其中有两个字段id和usernamethinkphp官网下载5.0.15版本: http://www.thinkphp.cn/down/1125.html 。修改数据库配置信息 application/database.php。在 application/config.php ...
一次复现审计ThinkPHP5.0.15版本的sql注入
p_utao的博客
01-22 312
关于tp框架 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
通过对漏洞的分析和总结,可以看出,虽然ThinkPHP框架在多数情况下为开发者提供了便利和安全,但作为开发者,仍需对安全方面有所了解和警惕,以保证自己开发的应用不因框架或自身代码的漏洞而受到攻击。
think-soar:thinkphp56框架SQL优化器和重写器扩展包
01-28
适用于thinkphp5 SQL语句优化器扩展包,基于 环境要求 安装 $ composer require guanguans/think-soar --dev 使用 下载开源SQL优化器 ,更多详细安装请参考 # macOS $ wget ...
thinkphp6 endroid/qr-code 扩展 实现二维码
qq_34930281的博客
04-04 2147
123
SQL优化器和重写php扩展包- SQL优化器和重写器php扩展包,方便框架中SQL调优。- guanguans / soar-php
01-27
ThinkPHP - Hyperf - Yii2 Symfony Slim 安装 $ composer require guanguans/soar-php --dev 使用 下载 开源的 SQL 优化器 ,更多详细安装请参考 # macOS $ wget ...
ThinkPHP Insert添加数据add方法
12-30 733
添加数据add方法是CURD(Create,Update,Read,Delete / 创建,修改,读取,删除)中的 Create的实现,ThinkPHP 支持以普通数组方式和面向对象方式将数据写入数据表。        现在以操作 user 表数据的例子为例,来演示如何在 ThinkPHP 中实现对数据表的数据添加操作。 数组方式添加数据 例子: 在 IndexAction 控制器(Lib/
ThinkPHP5漏洞分析SQL注入(七)
最新发布
Jeromeyoung
01-06 1924
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
谨慎使用tp5 save方法更新数据
热门推荐
ren593669257的博客
03-14 2万+
最近使用tp5框架模型更新数据时出现了一点小问题: foreach($user as $k =&amp;gt; $v) { if(某些条件满足) { $this-&amp;gt;save(['score'=&amp;gt;$v['score']],['id'=&amp;gt;$v['id']]); } } 当更新的数据一样,即使条件不一致时,save方法也不会更新数据。 解决方法: 加上isUpdate(true)更新...
记复现“Thinkphp5.X设计缺陷导致泄漏数据库账户密码”
KEY0NE的个人博客
07-25 1819
原文见:Thinkphp5.X设计缺陷导致泄漏数据库账户密码本文只对复现漏洞所遇到的问题做个记录,方便想要复现漏洞的朋友们。对漏洞的分析,作者已经在原文中详细阐述了,在此不再赘述。实验环境:Apache+php5.5+php.ini开启PDO程序包下载:http://www.jb51.net/codes/10793.html实验过程修改文件:ThinkPHP_5....
Thinkphp5.X 设计缺陷导致泄漏数据库账户密码
Fly_鹏程万里
12-11 9446
0x00 框架运行环境 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 PDO查询能阻止大多数传参攻击,而且框架要求的php版本是5.4;这就防止了php在5.3.6下有个PDO本地查询造成SQL注入的漏洞。...
thinkphp模型$_auto自动完成设置为插入时更新操作也变化的解决办法
lu900618的专栏
01-18 3985
表中字段:add_time、upd_time Model中: protected $_auto = array( array('add_time', 'time', self::MODEL_INSERT, 'function'), array('upd_time', 'time', self::MODEL_BOTH, 'function'),
tp5增删改查基本语法
qioqiao的博客
04-27 3139
控制器头部use think\Db; 得继承一下Db;调取页面return view('index');添加  $res=Db('qname')-&gt;insert($data);删除 $res=Db('qname')-&gt;where('id',$id)-&gt;delete();修改 $res=Db('qname')-&gt;where('id', $id)-&gt;update($dat...
ThinkPHP3.2.3 SQL注入分析update注入详解
这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本中存在的一个SQL注入漏洞。ThinkPHP是一个广泛使用的PHP框架,其在早期版本中存在的一些设计缺陷可能导致安全风险。 在描述中提到的漏洞代码实例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值