Thinkphp 5.1.24 parseKey缺陷导致聚合注入 分析

最新推荐文章于 2021-05-06 18:02:44 发布
最新推荐文章于 2021-05-06 18:02:44 发布
阅读量110 收藏
点赞数
原文链接:http://www.cnblogs.com/litlife/p/11312796.html
版权

测试url:

http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2

控制器是获取id参数作为进行聚合查询的字段名,如下图所示

1077935-20190807011142838-650825516.png

看一下存在漏洞的parseKey方法

1077935-20190807011148442-1662651045.png

可以看到,这里直接在$key的前后加上反引号就直接返回了。根据前面几个漏洞的分析我们可以知道parseKey是用来解析字段名的。对于insert和update之类的数据,程序一般是字段名固定,数据和where语句的等于号之后的值部分可控,因此在这两种查询中parseKey里的参数是用户接触不到的【update member set money=$m where id=$id】。而对于聚合查询而言,一共就只需要一个字段名参数【select max($id) from member】,如果用户可控,就刚好在parseKey进行了拼接。

调试一下,url如下:

http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=kkk

1077935-20190807011155012-1751085737.png

1077935-20190807011200155-2122346198.png

1077935-20190807011205589-1487102332.png

跟进aggregate

1077935-20190807011210483-1557756951.png

跟进parseKey,注意这里的第三个参数为true

1077935-20190807011214899-1084628495.png

可以看到,由于第三个参数是true,所以143行是一个恒真条件,然后在144行在$key前后加上反引号`,最后直接返回。

我们在最终执行SQL语句处看一下最后的SQL语句是啥。

1077935-20190807011219507-402503154.png

可以看到直接拼接了进去。尝试payload:

id`) from member where updatexml(1,concat(0x7e,user(),0x7e),1) %23

1077935-20190807011224732-947631125.png

可以看到,我们的数据成功逃逸出了反引号和括号。
1077935-20190807011230033-1190125503.png

不过这个payload的限制就是payload前半部分的id`) from member必须是存在的字段名和表名,否则前半部分就会报错。如果师傅们有啥姿势欢迎留言~

转载于:https://www.cnblogs.com/litlife/p/11312796.html

weixin_30746117
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端开源库-parse-key
08-30
前端开源库-parse-key解析键,将字符串解析为与nodejs readline发出的字符串格式相同的键对象。
审计php框架,关于ThinkPHP框架的审计
weixin_33307540的博客
04-15 128
下面由thinkphp框架教程栏目给大家介绍有关ThinkPHP框架的审计,希望对需要的朋友有所帮助!ThinkPHP简介ThinkPHP是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也...
12-PHP代码审计——ThinkPHP5.0.15 update注入分析
网络安全
05-06 814
环境: thinkphp_5.0.15_full poc: level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1 下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。 在application目录的config.php文件中开启跟踪调试模式,如下所示: // 应.
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞
Ambulong的博客
12-11 5498
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 在线环境地址:https://www.vulnspy.com/cn-thinkphp-5.x-rce/ 执行phpi...
ThinkPHP内置jsonRPC的缺陷分析
10-25
然而,在实际使用中,ThinkPHP的jsonRPC模块存在一些潜在的缺陷,特别是在参数校验方面。 问题的关键在于`call_user_func_array`函数的使用。这是一个PHP内置函数,用于调用用户定义的函数或方法,并将参数作为数组...
thinkphp5.1框架容器与依赖注入实例分析
10-16
实例分析有助于加深理解,例如在ThinkPHP5.1中,我们可以使用bind方法将一个类绑定到容器中,如下: ```php \think\Container::set('tmp', '\app\common\Temp'); ``` 这段代码的作用是将一个别名tmp和类@app\...
ThinkPHP聚合支付源码 聚合收银台系统源码
最新发布
11-02
ThinkPHP聚合收银台系统,这是收银平台系统看清楚。支付通道对接微信官方、支付宝官方。支持对接彩虹易支付。
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
通过对漏洞分析和总结,可以看出,虽然ThinkPHP框架在多数情况下为开发者提供了便利和安全,但作为开发者,仍需对安全方面有所了解和警惕,以保证自己开发的应用不因框架或自身代码的漏洞而受到攻击。
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)
Fly_鹏程万里
12-11 6188
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 漏洞分析 Thinkphp v5.0.x补丁地址: https://github.com/top-think/f...
ThinkPHP 5.1.x SQL注入漏洞分析
Fly_鹏程万里
12-13 5162
一、背景介绍 ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。 在近期,ThinkPHP 框架被曝出存在SQL注入漏洞。由于SQL注入漏洞的危害性以及该框...
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
热门推荐
SoulCat
01-27 3万+
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5....
thinkphp v5.0.24 密码爆破_ThinkPHP < 5.0.24 远程代码执行高危漏洞的修复方案
weixin_39646970的博客
11-25 3806
点击蓝字关注我们!每天获取最新的编程小知识!源 /php中文网 源 /www.php.cn本篇文章主要给大家介绍ThinkPHP<5.0.24远程代码执行高危漏洞的修复方案,希望对需要的朋友有所帮助!漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷导致黑客构造特定的请求,可直接GetWebShell。漏洞评级严重...
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9817
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
TensorFlow中的通信机制——Rendezvous(一)本地传输
weixin_38166789的博客
02-08 819
背景 [作者:DeepLearningStack,阿里巴巴算法工程师,开源TensorFlow Contributor] 在TensorFlow源码中我们经常能看到一个奇怪的词——Rendezvous。如果从仔细统计该单词出现的频率和模块,你会发现无论在单机还是分布式,无论在core目录还是contrib目录都存在它的身影,所涉及的模块非常多。Rendezvous是一个法语单词,发音...
ThinkPHP 5.0.x 框架sql注入漏洞分析
Fly_鹏程万里
12-11 2838
前言 漏洞复现 搭建好数据库,以我自己的配置为例。数据库为tptest,表名为user,其中有两个字段id和username thinkphp官网下载5.0.15版本: http://www.thinkphp.cn/down/1125.html 。修改数据库配置信息 application/database.php。在 application/config.php 中打开调试和tra...
ref:ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)
weixin_30505043的博客
05-09 370
ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSHU2018.04.21 02:03* 字数 761 阅读 23评论 2喜欢 0 ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)的一次漏洞复现作业 ----...
php PDO操作
hacker_wtm的博客
06-05 1072
PHP 数据对象 简介 安装/配置 需求 安装 运行时配置 资源类型 预定义常量 连接与连接管理 事务与自动提交 预处理语句与存储过程 错误与错误处理 大对象 (LOBs) PDO — PDO 类 PDO::beginTransaction — 启动一个事务 PDO::commit — 提交一个事务 PDO::__construct — 创建一个表示数据库连接的 P...
Declaration of xxxxxx should be compatible with xxxxx
上官hao的博客
08-26 5273
web端和移动端接口写在了一个项目里,调用移动端登录的时候报了 "Declaration of App\\Http\\Controllers\\Api\\V1\\UserController::login(App\\ Http\\Requests\\Api\\V1\\UserLoginRequest $request) should be compatible with App\\Http\\C...
ThinkPHP3.2.3 SQL注入分析:update注入详解
这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本中存在的一个SQL注入漏洞ThinkPHP是一个广泛使用的PHP框架,其在早期版本中存在的一些设计缺陷可能导致安全风险。 在描述中提到的漏洞代码实例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值