tp3.2 mysql elt出错_thinkphp 3.2.3 exp注入漏洞分析

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量395 收藏
点赞数
文章标签: tp3.2 mysql elt出错
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35775807/article/details/113546104
版权
本文详细分析了ThinkPHP 3.2.3版本中的EXP注入漏洞,通过示例代码展示了漏洞利用过程,解释了I函数如何防止SQL注入,并探讨了其他可能的注入方式及防御策略。最后提出了修复漏洞的方法,包括使用I函数获取用户输入和过滤特定关键字。
摘要由CSDN通过智能技术生成

1.EXP注入漏洞分析:

在官网下载thinkphp3.2.3

然后在ThinkPHP\Conf\convention.php配置好MySQL帐号密码

再添加一行,用来打印sql语句

'SHOW_PAGE_TRACE' =>true,

Application\Home\Controller\IndexController.class.php

漏洞代码

public function index(){

$id = $_GET['id'];

$Admin = D("admin");

$data = $Admin->where(['Id' => $id])->select();

var_dump($data);

}

exp

http://127.0.0.1/index.php?id[0]=exp&id[1]==1 or sleep(5)

下断点调试:

跟到ThinkPHP\Library\Think\Model.class.php的select函数

再跟到select函数中

再进入buildSelectSql函数中

继续进入到parseSql函数中

继续进入

$exp的值是$val[0]的值,也就是poc中的exp

赋值以后$exp='exp';这样的

经过判断以后,直接吧$key和$val[1]进行了字符串拼接

val值就是我们刚才传入进来的值,拼接以后变成

sql注入语句拼接完成

完整调用堆栈流程图

2.使用I函数为什么能防止注入?

如果你在控制器中用I函数来获取变量的话,你会发现页面会报错了

那么为什么I函数能阻止sql注入,在ThinkPHP\Common\functions.ph中的think_filter函数中

I函数会把(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOTBETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN) 这些特殊关键字加上空格

这样的话

并不会进入到if语句中,从而不会拼接sql字符。

3.那么thinkphp3对于普通的sql注入语句是如何防护的?

poc http://127.0.0.1/index.php?id=1 and 1=1

在ThinkPHP\Library\Think\Model.class.php中_parseType()函数

函数先获取了数据库中id字段的数据类型为int(11),就把变量转为整数型

1 and 1=1 被转成 1,达到防注入

那么接下来看一下对于字符型注入点是如何达到进行防注入的。

源码如下

POC

http://127.0.0.1/index.php?username=admin'

对于字符型注入,tp3会调用ThinkPHP\Library\Think\Db\Driver.class.php中的escapeString()函数对特殊符号进行转义,从而进行防注入

4.除了exp还有其他注入方法吗?

那么我们需要对parseWhereItem()这个函数进行分析

通过这些关键字的匹配,会进入到对于的if语句中,一共有5种

但是其他的三种情况都会对把语句传入parseValue()函数

parseValue函数中,又会对函数进行转义

而直接拼接的只有exp和bind两种情况

那么来试一下bind注入

bind会在语句中加入:,从而导致sql语句错误

看了一下网上的资料,bind注入只能在update语句中使用,通过报错进行注入

源码

public function index(){

$User = M("admin");

$user = I('id');

$data['username'] = I('username');

$data['password'] = I('password');

$valu = $User->where(['Id'=>$user])->save($data);

var_dump($valu);

}

POC

http://127.0.0.1/index.php?username=admin&password=123&id[0]=bind&id[1]=1%20and%20updatexml(1,concat(0x7,(select%20password%20from%20admin%20limit%201),0x7e),1)

虽然update条件比较艰难,但是也有一个好处think_filter函数中并没有对bind进行过滤

也就是说就算使用了I函数来获取参数,也是可以进行注入的

5.漏洞修复

1.获取用户输入的参数,尽量使用I函数

2.修复代码,放到index.php 应用入口文件中

function filter(&$value){

if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN|BIND)$/i',$value)){

$value .= ' ';

}

}

array_walk_recursive($_GET,'filter');

array_walk_recursive($_POST,'filter');

array_walk_recursive($_REQUEST,'filter');

array_walk_recursive($_COOKIE,'filter');

南小鹏
关注
thinkphp3.2框架中where条件查询用法总结
10-16
ThinkPHP3.2框架中,`where`条件查询是进行数据库操作时不可或缺的一部分,它允许开发者构建复杂的查询条件来筛选数据。以下是对ThinkPHP3.2中`where`条件查询用法的详细说明: 1. **基本条件查询**: - `EQ`...
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 2200
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【安全漏洞ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 2052
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
TP 中的gt egt lt elt
热门推荐
秋瑾的博客
06-07 1万+
eq 或者 equal :等于 neq 或者 notequal :不等于 gt :大于 egt :大于等于 lt :小于 elt :小于等于 heq :恒等于
RWC23_elt2_regulated_genes
05-07
分析的目的是更好地了解秀丽隐杆线虫肠主调节剂ELT-2的发育ChIP-seq数据。 此分析分为三个部分 将ELT-2 ChIP-seq与ELT-2 / EL-7差异表达整合 收集公开可用的秀丽隐杆线虫肠道数据集 将ELT-2 ChIP-seq与时间分辨...
ELT2D_FEM_elasticity_Mesh_
09-29
标题“ELT2D_FEM_elasticity_Mesh_”暗示了这是一个关于二维弹性力学问题的有限元方法(Finite Element Method, FEM)求解器,重点在于自适应网格(Adaptive Mesh)技术。在计算力学领域,FEM是一种广泛应用的数值...
MySQL函数一览_MySQL函数全部汇总
09-10
MySQL数据库系统提供了丰富的函数来处理各种数据类型,包括数学运算、字符串操作以及日期和时间的处理。以下是对这些函数的详细说明: **数学函数**: 1. `ABS(x)`:返回x的绝对值,用于得到数值的正数部分。 2. `...
ELT2611_1_2558_HOMEWORK:ELT2611作业,第1学期,2015学年
05-09
在本主题中,我们主要关注的是与"ELT2611_1_2558_HOMEWORK:ELT2611作业,第1学期,2015学年"相关的课程作业,该作业可能涉及到Java编程语言的学习和应用。Java是一种广泛使用的面向对象的编程语言,具有平台独立性、...
thinkphp3.2.3 代码执行
weixin_46801402的博客
11-02 1137
thinkphp3.2.3 代码执行
thinkphp3.2.3漏洞_命令执行漏洞
weixin_39724287的博客
11-21 832
No.1漏洞描述命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一。如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等。当攻击者可以控制这些函数中的参数时,...
thinkPHP3.2.3中sql注入漏洞
XINO
05-26 1982
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
Thinkphp3全漏洞分析
灰太的表格的博客
01-23 6530
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1977
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4637
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1478
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9645
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
最新发布
程序员六七的博客
05-16 552
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
mysql elt(1,asc,desc,asc)
09-03
mysqlELT()函数是用来选择一个值作为结果返回。ELT()的语法如下: ELT(n, string1, string2, string3, ...) 其中n是要选择的值的索引,string1,string2,string3等是要选取的字符串。 根据题目给出的例子,ELT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值