mysql 注入 3.0_ThinkPHP 3.0~3.2 SQL注入漏洞详解与利用

最新推荐文章于 2022-05-20 20:24:13 发布
最新推荐文章于 2022-05-20 20:24:13 发布
阅读量532 收藏
点赞数
文章标签: mysql 注入 3.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33520805/article/details/113234213
版权

imgpxy.php?url=gnp.021x003-1111%2F10%2F5102%2Fsdaolpu%2Ftnetnoc-pw%2Ften.ilxilx%2F%2F%3Aptth

0x00 背景

thinkphp最近漏洞频出,这个漏洞属于危害特别大的,以现有的程序员写法,应该都是有漏洞的。自己也测试了几个站点,在利用的时候碰到的一点问题,总结一下。

0x01 漏洞信息

漏洞文件位置ThinkPHPLibraryThinkDb.class.php

parseWhereItem函数由于对between关键字的正则匹配错误,导致了SQL注入。

详情可以上乌云:http://www.wooyun.org/bugs/wooyun-2014-087731

估计通过代码比对可以很快明白。

0x02 EXP

此次的目的是利用sqlmap去自动跑数据,仅测试了3个站点,不过遇到的问题挺多。

问题:

一、TP对0x7167656371形式的数据都解释成是数据表的字段,因此对于sqlmap判断注入存在的关键字是无法利用的,需绕过。

imgpxy.php?url=gnp.021x003-1111%2F10%2F5102%2Fsdaolpu%2Ftnetnoc-pw%2Ften.ilxilx%2F%2F%3Aptth

二、在GET请求时,由于TP的路由模式对URL中的参数取得时,未做URL解码处理,因此提交的时候不能使用URL编码,且不允许出现空格,会导致路由失效出现404。

imgpxy.php?url=gnp.741x003-2222%2F10%2F5102%2Fsdaolpu%2Ftnetnoc-pw%2Ften.ilxilx%2F%2F%3Aptth

三、在sqlmap会对0x7167656371的字符串形式’qgecq‘做匹配,且大小写敏感,不然会造成无法识别注入点。

imgpxy.php?url=gnp.36x003-3333%2F10%2F5102%2Fsdaolpu%2Ftnetnoc-pw%2Ften.ilxilx%2F%2F%3Aptth

四、GET请求时在替换完payload时应该替换空白字符,但是POST时是不需要的。

意味着–skip-urlencode参数可以根据需要添加。

问题来源:

sqlmap的返回验证机制中有一个头关键字,可以观察所有的插入字符都是q开头的,且大小写敏感。因此需要修改这两处。

(伟大娃娃不做程序员真是可惜了- -)

识别解决方案:

修改sqlmap/lib/core/settings.py:

KB_CHARS_BOUNDARY_CHAR = 'L'

修改slqmap/lib/core/common.py:

randomStr函数中

return retVal     =>     return retVal.upper()

另外根据ThinkPHP对数据库的操作要求,必须把0x0000形式直接转换成字符串,因此直接编写一个tamper来完成这个工作。

代码地址:

https://github.com/LxiaoGirl/ThinkPHPSQL0day

最后的命令:

sqlmap.py -u  "http://192.168.1.201:81/index.php/ThinkPHP0day?key[0]=&key[1]=a" -p key[0] --prefix "='-'" --suffix "%23between"  --tamper thinkphp0day.py --technique=U --dbms=mysql --union-char "156427916544" --skip-urlencode --dbs

0x03 后话

测试过E模式U模式,都是可以使用的。唯一需要注意的是–prefix位置需要自己去闭合。

备注:

代码审计过程中需要记录SQL语句执行的过程,但是到mysql的5.6版本时出现一点变动。

mysql5.6 增强了log记录-取消了通用log配置项,改成了general_log,且不记录错误的SQL语句(有同学可以可告知)。

mysql5.5 通用日志记录项目log,也有general_log项,可记录错误SQL语句。因此建议环境设置成5.5。

院花有点甜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全漏洞ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 1846
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件,连带着我们输入的可控的php代码也在其,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
ThinkPHP框架任意代码执行漏洞利用及其修复方法
12-18
ThinkPHP是国内著名的开源的PHP框架,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。早期的思想架构来源于Struts,后来经过不断改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结 构和MVC模式,融合了Struts的Action和Dao思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式, 封装了CURD和一些常用操作,单一入口模式等,在模版引擎、缓存机制、认证机制和扩展性方面均有独特的表现.   然而近期th
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
ThinkPHP3.2完整版, 2013-12-31更新 环境要求:PHP5.3+ 支持SAE等云平台
ThinkPHP_3.0_Full
06-08
ThinkPHP_3.0_Full
TP3.2.3倒计时.rar_FZK_cypt倒计时软件_thinkphp3.2.3_tp3.2倒计时_倒计时
09-23
thinkphp3.2.3页面倒计时功能,未到时间则每秒自主更新剩余时间,到时间则切换到正式内容
ThinkPHPSQL0day:ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!
07-02
ThinkPHPSQL0day ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!
php拿站,thinkphp 3.0 爆路径漏洞
weixin_39871649的博客
03-10 420
1. thinkphp3.0 模块加载失败,出错信息爆应用程序路径。检测有两种情况1. 可执行命令,这个估计是伪3.0版本?交大定票此站到可以执行命令http://webshell.cc/index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D可查看版本http://webshell.cc/index.php/module/action...
tp3.2 mysql elt出错_ThinkPHP3.2.3 SQL注入漏洞分析
weixin_39916355的博客
01-30 413
where注入在控制器写如下demo开始测试public function ghtwf01(){$data = M('users')->where('id='.I('id'))->find();dump($data);}$data处下断点跟踪调试,F7进入I方法判断传参方式switch(strtolower($method)) {case 'get' :$input =&am...
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4389
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
think+php+漏洞,ThinkPHP3.2.3漏洞分析
weixin_32824625的博客
03-28 993
一、前言ThinkPHP漏洞分析文章有很多,这里我只是想对我学习的过程进行一个记录,有点菜,希望大佬不要喷我。二、where注入在控制器,写个demo,利用字符串方式作为where传参时存在注入public functiongetuser(){$user = M('User')->where('id='.I('id'))->find();dump($user);}在变量user...
ThinkPHP漏洞总结
编程哲学家的专栏
01-08 1024
这两天把有关thinkphp漏洞文章通读了一下终于整理完所有的漏洞POC,鉴于各大厂商waf或者IDS对phpinfo,system,assert等关键字的拦截,所以尽量只验证而不做漏洞利用。 屏幕快照 2019-09-11 上午11.41.18.png ...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
ref:ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)
weixin_30505043的博客
05-09 357
ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSHU2018.04.21 02:03* 字数 761 阅读 23评论 2喜欢 0 ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)的一次漏洞复现作业 ----...
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1336
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5443
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
某次报错注入到自定义sqlmap的payload全过程
weixin_40418457的博客
07-16 1982
#0x01 登录框存在sql注入: 通过前期的信息搜集,发现站点使用thinkphp3.2版本的框架,在登录页面验证存在sql注入: 成功读取到数据库版本: #0x02 尝试通过手工注入获取后台账号 遗憾的是sqlmap连注入都识别不出: –proxy=http://127.0.0.1:8080,将sqlmap的流量转发到burp分析payload,发现sqlmap发出的包多加了一个AND: 换手工注入: 查表名payload:extractvalue**(1,concat(0x7e,(selec
thinkphp_3.0_full
最新发布
01-26
thinkphp_3.0_full是一个基于PHP的开源框架,供开发者用于快速构建Web应用程序。该框架结合了MVC设计模式、ORM和模板引擎,使开发者能够更高效地编写和管理代码。thinkphp_3.0_full具有良好的扩展性和灵活性,可以满足不同规模和需求的项目开发。它提供了丰富的库和组件,包括数据库操作、表单验证、文件上传、缓存管理等功能,减少了开发人员在项目开发的重复劳动。此外,框架还具有安全性高和稳定性强的特点,能够保障项目的稳定运行和数据的安全。 使用thinkphp_3.0_full进行开发,可以提高开发效率,简化开发流程,降低项目开发的复杂度。框架提供了丰富的文档和社区支持,开发者可以快速上手并获得帮助。另外,该框架还支持多语言、多数据库和多平台,可以满足多样化的项目需求。 总之,thinkphp_3.0_full是一个成熟、稳定、功能丰富的PHP开发框架,适合用于各种规模的Web应用程序开发。它的优点包括高效的开发、丰富的功能和强大的扩展性,是开发者构建高质量Web应用的理想选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值