Thinkphp 5.1.7 parseData缺陷导致insert/update注入 分析

最新推荐文章于 2022-11-09 10:20:00 发布
最新推荐文章于 2022-11-09 10:20:00 发布
阅读量148 收藏
点赞数
原文链接:http://www.cnblogs.com/litlife/p/11280133.html
版权

目录

环境搭建

$ composer create-project topthink/think thinkphp-5.1.7

修改composer.json 5.1.* => 5.1.7

$ composer update

分析

这个注入点与5.0.15的注入点位置都在parseData里,都是在解析set-data时直接将用户完全控制的data拼接到SQL语句中。

下面来看漏洞点,首先根据Github的commit记录进行定位

1077935-20190801015048389-448754055.png

1077935-20190801015053019-446608588.png

可以看到这里直接删除了default语句块,并直接删除了parseArrayData方法。

我们下面通过搭建5.1.7环境,来看一下被删掉的语句在原版本中会有怎样的影响。首先看一下控制器

1077935-20190801015058059-596874794.png

这里获取一个username数组get变量,传给$username,然后作为字段'name'的值,插入test表。

我们先请求一条测试url:

127.0.0.1/thinkphp/thinkphp_5.1.7/public/index.php/index/index/sqli?username[0]=aaa&username[1]=bbb

1077935-20190801015105917-406100473.png

可以看到此时$username的值为{"aaa","bbb"}。

下面在commit删除的部分下个断点,由于这个断点位于parseData()处,所以我们先从parseData开始跟。

1077935-20190801015112964-1388337504.png

可以看到,这里将$data解析成键值对,由于$val是数组且不为空,进入了switch-default语句块,然后以用户可控的$val作为参数传入parseArrayData方法中。然后将获得的返回值放到$result数组中,最终返回$result数组。我们先跟进一下parseArrayData

1077935-20190801015117807-138881224.png

这里先把$data的前两个元素赋值给$type和$value。不过由于我们这个的第一个元素是aaa,因此没有进入第一个case。通过分析第一个case可以发现,这里直接将$value(即$data[1])、$data[2]、$data[3]拼接到了返回值$result中,因此我们把我们的username[0]的值改为point,然后再加一个username[2]。

测试url:

127.0.0.1/thinkphp/thinkphp_5.1.7/public/index.php/index/index/sqli?username[0]=point&username[1]=bbb&username[2]=ccc

调试一下:
1077935-20190801015124583-44317876.png

可以看到这里直接将参数拼接进来。继续调试,看看最终形成的sql语句:

1077935-20190801015129663-21497085.png

返回页面:

1077935-20190801015134876-1159687983.png

试一下报错注入payload:

http://127.0.0.1/thinkphp/thinkphp_5.1.7/public/index.php/index/index/sqli?username[0]=point&username[1]=bbbb&username[2]=updatexml(1,concat(0x7e,user(),0x7e),1))--%20

1077935-20190801015142439-362770209.png

参考

https://mochazz.github.io/2019/03/21/ThinkPHP5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B9%8BSQL%E6%B3%A8%E5%85%A52/#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90

转载于:https://www.cnblogs.com/litlife/p/11280133.html

weixin_30952103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1173
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
ThinkPHP内置jsonRPC的缺陷分析
10-25
然而,在实际使用中,ThinkPHP的jsonRPC模块存在一些潜在的缺陷,特别是在参数校验方面。 问题的关键在于`call_user_func_array`函数的使用。这是一个PHP内置函数,用于调用用户定义的函数或方法,并将参数作为数组...
thinkphp5 两个控制器传参数_Thinkphp 5.1.7 parseData缺陷导致insert/update注入 分析
weixin_39861882的博客
01-07 100
环境搭建$ composer create-project topthink/think thinkphp-5.1.7修改composer.json 5.1.* => 5.1.7$ composer update分析这个注入点与5.0.15的注入点位置都在parseData里,都是在解析set-data时直接将用户完全控制的data拼接到SQL语句中。下面来看漏洞点,首先根据Git...
Thinkphp 5.0.15 设计缺陷导致Insert/update-SQL注入 分析
weixin_30532973的博客
07-31 477
分析 与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。 上一个漏洞点存在于处理where语句的parseWhere()处,而这个点则在处理insert和s...
php模型update,Thinkphp5模型更新数据的方法
weixin_29603829的博客
03-17 887
本篇文章注意介绍了Thinkphp5模型更新数据的方法,thinkphp5模型更新数据有两种方法,希望对学习thinkphp的朋友有帮助!Thinkphp5模型更新数据的方法thinPHP5模型更新数据的方法有两个一个是update,一个是save方法,下面看实际案例代码。...
总结下ThinkPHP的代码审计方法
kali_Ma的博客
09-09 912
简介 ThinkPHP 是国内著名的 php开发框架,基于MVC模式,最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。 本文主要分析 ThinkPHP v3 的程序代码,通过对 ThinkPHP v3 的结构分析、底层代码分析、经典历史漏洞复现分析等,学习如何审计 MVC 模式的程序代码,复现 ThinkPHP v3 的系列漏洞,总结经验,以后遇到 ThinkPHP v3 的代码能够独立审计,抓住重点。即使不想对 ThinkPHP v3 代码做过多了解的小伙伴通过本文也能对TP
Thinkphp模板中使用default默认值输出
weixin_33875839的博客
04-01 3272
2019独角兽企业重金招聘Python工程师标准>>> ...
ThinkPHP内核个人发卡系统源码/Azhe发卡去后门+免授权发卡系统源码
最新发布
07-25
ThinkPHP内核个人发卡系统源码,Azhe发卡去后门、免授权发卡系统源码。 基于ThinkPHP开发,非常适合个人、企业发卡系统使用,安装版,域名直接安装就行,没安装难度,喜欢的自行玩去吧!
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
但即使是成熟的框架也可能存在安全漏洞,例如文件ThinkPHP/Lib/Core/Model.class.php中的SQL注入漏洞就是一个例子,它发生在ThinkPHP3.1.3及更早的版本中。 SQL注入是一种常见的网络攻击手段,攻击者通过在数据库...
ThinkPHP 清理缓存最新TP5.0/6.0有效完全代码
05-30
ThinkPHP 清理缓存最新TP5.0/6.0有效完全代码 , 1 . 清除模版缓存 不删除cache目录 。。。。 2 . 清除模版缓存 不删除 temp目录 。。。 3 . 清除日志缓存 不删出log目录 使用循环方式获取所以有效的文件夹
laravel updateOrInsertupdateOrCreate区别
weixin_42261759的博客
06-17 397
laravel updateOrInsertupdateOrCreate区别
学习笔记-ThinkPHP 之 SQLI审计分析(三)
人饭子的博客
11-09 166
ThinkPHP 之 SQLI审计分析(三) Time:9-23 影响版本:ThinkPHP=5.1.22 Payload: /public/index.php/index/index?orderby[id`|updatexml(1,concat(0x7,user(),0x7e),1)%23]=1 0x00 测试代码做了什么 <?phpnamespace app\index\contr...
ThinkPHP的SQL注入问题
hldfight
11-22 6379
ThinkPHP常见SQL注入问题0x00 前言0x01 where()方法 + exp表达式1.1 漏洞代码1.2 漏洞利用1.3 漏洞原理1.4 漏洞修复0x02 数据查询方法参数可控导致可拼接操作符2.1 漏洞代码2.2 漏洞利用2.3 漏洞原理2.4 漏洞修复0x03 where()方法 + bind表达式 + save()方法3.1 漏洞代码3.2 漏洞利用3.3 漏洞原理3.4 漏洞修复0x04 order()方法4.1 漏洞代码4.2 漏洞利用4.3 漏洞原理4.4 漏洞修复0x05 参考文章
学习笔记-ThinkPHP5之SQLI审计分析(一)
人饭子的博客
11-09 175
ThinkPHP5之SQLI审计分析(一) Time:8-31 影响版本:5.0.13<=ThinkPHP<=5.0.15、 5.1.0<=ThinkPHP<=5.1.5 Payload: /public/index.php/index/index?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),...
【laravel】updateOrCreate 和 updateOrInsert 的区别
热门推荐
烟雨弥漫了江南的博客
09-14 4万+
updateOrCreate() 和 updateOrInsert() 两个方法都是用来保存数据的时候方便操作“ 存在即更新,反之则创建 ”的 updateOrCreate 方法使用的是 Eloquent ORM 操作的数据库,updateOrInsert 方法使用的是查询构造器 updateOrCreate 返回值是\Illuminate\Database\Elo...
TP5新增和更新时条件对比
发现美,玩起来
04-25 1400
新增时if($user->save()){ }else{ } 更新时if(false!==$user->save()){ }else{ }因为这个时候,如果你什么都没改,点击提交,会返回int 0,就会失败。但这个时候还是应该成功更新的,所以用恒等于。
insert/update操作失败原因及解决方法
Eddyx的专栏
09-19 8506
    很奇怪,asp+sql server人数在300人左右的时候,插入数据的操作有数据丢失的情况。    查了半天,数据库相关表的编号列是primary key,有identity属性,每次自动加一。代码里面显示编号是通过select max(clNum)拿出来的。这样的话,在插入数据成功之后,还需要select一把。     这里就有个漏洞,如果同时做插入动作的用户很多,对单个用户来说,插入
收藏thinkphp之SQL查询语句(全)
cddengineer的专栏
03-19 2713
Thinkphp常用查询整理收藏
InsertOrUpdate的一些注意项
lengmohui668的博客
06-04 1万+
有时候,我们经常会写这样的逻辑,insertOrUpdate,即数据存在即更新,数据不存在则增加。 一般情况下这个是没有问题,但是在部分情况,这个东西是存在很大的问题的   我们都知道,数据库有4个隔离级别,即 READ UNCOMMITED READ COMMITED REPEATABLE READ SERIALIZABLE 按照正常的逻辑, 针对READ UNCOMMITED...
ThinkPHP3.2.3 SQL注入分析update注入详解
这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本中存在的一个SQL注入漏洞。ThinkPHP是一个广泛使用的PHP框架,其在早期版本中存在的一些设计缺陷可能导致安全风险。 在描述中提到的漏洞代码实例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值