php新版还有漏洞吗,Thinkphp3.2.3发现新版SQL注入漏洞!

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量283 收藏
点赞数
文章标签: php新版还有漏洞吗

07b0eb09cdf658cbebdcc3d9c18a64e5.png

安全客文章报道发现Thinkphp3.2.3最新版SQL注入漏洞!还使用Thinkphp3.2.3版本的小伙伴赶紧去github上更新补丁!

漏洞详情

由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。

thinkphp系列框架过滤表达式注入多半采用I函数去调用think_filter

0b8d725d44afdeee7195b3b6716fd66d.png

有没有相关tips来达到I函数绕过呢?是可以的。一般按照官方的写法,thinkphp提供了数据库链式操作,其中包含连贯操作和curd操作,在进行数据库CURD操作去更新数据的时候:举例update数据操作。

e1ae7e5937b0782d51969d3c17f2362f.png

直接看框架的where子单元函数,之前网上公开的exp表达式注入就是从这里分析出来的结论:Thinkphp/Library/Think/Db/Driver.class.php其中除了exp能利用外还有一处bind,而bind可以完美避开了think_filter:

549e6f711681e0f7936ee86d335ef1eb.png

这里由于拼接了$val参数的形式造成了注入,但是这里的bind表达式会引入:符号参数绑定的形式去拼接数据,通过白盒对几处CURD操作函数进行分析定位到update函数,insert函数会造成sql注入,于是回到上面的updateh函数。

Thinkphp/Library/Think/Db/Driver.class.php

接着跟进execute函数,这里有处对$this->queryStr进行字符替换的操作:

439f1548d85975b987001c5a2881f836.png

具体是什么,我这里写了一个实例:常规的跟新数据库用户信息的操作:Application/Home/Controller/UserController.class.php

631ecfe4f0f0a79d3c3eeff637d0477d.png

根据进来的id更新用户的名字和钱,构造一个简单一个pocid[]=bind&id[]=1’&money[]=1123&user=liao当走到execute函数时sql语句为:

19acdf01af4db7e1322a4f9012821ebf.png

然后$that = $this

8c0a7369865375f6bad0fd3cdadbf3e1.png

然后下面的替换操作是将”:0”替换为外部传进来的字符串,这里就可控了。

30f03c3595cb56794e2eb1916e785919.png

替换后:

28ea2f8b7892f10e5b23d096a285fc6a.png

明显发现之前的user参数为:0然后被替换为了liao,这样就把:替换掉了。后面的:1明显是替换不掉的:

b00f4d935297f1c3e7d7e2a212bf36af.png

那么我们将id[1]数组的参数变为0呢?id[]=bind&id[]=0%27&money[]=1123&user=liao

27831133751433b05eef36a7311f70af.png

果然造成了注入:POC:money[]=1123&user=liao&id[0]=bind&id[1]=0%20and%20(updatexml(1,concat(0x7e,(select%20user()),0x7e),1))

02de5200b82b259cf0586fce1726a34b.png

修复方式

更新最新补丁ht#tps#:/#/githu#b.com/t#op-think/thi#nkphp/commit/7e47e34af72996497c90c20bcfa3b2e1cedd7fa4

weixin_39627665
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【安全漏洞ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 1902
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
[复现]Thinkphp3.2.3 漏洞
热门推荐
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
最新发布
程序员六七的博客
05-16 497
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 1706
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4471
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
01-20
本篇文章将详细介绍如何在ThinkPHP3.2.3框架中执行原生SQL语句,包括查询、添加、修改和删除等操作。 ### 一、查询语句 在ThinkPHP3.2.3中,执行查询语句通常使用`M()`函数实例化Model对象,然后调用`query()`方法...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
基于phpThinkPhp3.2.3框架开发的微信企业号后台管理系统.zip
07-23
【标题】基于phpThinkPhp3.2.3框架开发的微信企业号后台管理系统 【内容详解】 这个项目是利用PHP编程语言,基于ThinkPhp3.2.3框架构建的一个微信企业号后台管理系统。ThinkPhp是中国较为流行的一款开源PHP框架...
ThinkPHP 3.2.3 核心版.zip
05-23
修正可能的SQL注入漏洞;[其它方面]支持全局路由定义;增加插件控制器支持;增加对全局和模块的模板路径的灵活设置;日志目录分模块存放;增加memcacheSession驱动;改进session函数的数组操作;修正一系列存在的...
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5572
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1553
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
9-PHP代码审计——thinkphp3.2.3数据库内核注入漏洞
网络安全
04-29 572
漏洞利用的poc: http://www.tptest.com/index.php/home/index/index?username[0]=exp&username[1]==%27admin%27 数据库内核注入漏洞thinkphp框架的数据库模块产生的漏洞,我们先通过一个案例来分析数据库操作模块的流程: 后台接收url请求中的username拼接到后台中执行,最终将查询到的内容返回,为了分析sql执行过程,开启debug调试模式。 class IndexContr..
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9589
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
thinkphp3.2.3漏洞_【漏洞预警】SaltStack远程命令执行漏洞
weixin_39658966的博客
11-24 945
SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)2020年5月3日,阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞漏洞描述SaltStack是基于Python开发的一套C/S架构配置管理工具。国外某安全团队披露了SaltStack存在认证绕过漏洞(CVE-2020-11651)...
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1360
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
thinkPHP3.2.3中sql注入漏洞
qq_52988816的博客
05-26 1896
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1104
漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
thinkphp3.2.3 rce漏洞复现
08-12
根据引用中提供的信息,ThinkPHP3.2.x存在一个RCE(远程代码执行)漏洞。根据引用中的描述,我们可以通过控制`$this->img`变量来找到`destroy()`函数。在`ThinkPHP/Library/Think/Session/Driver/Memcache.class....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值