tp3.2 mysql elt出错_ThinkPHP3.2.3 SQL注入漏洞分析

最新推荐文章于 2022-05-20 20:24:13 发布
最新推荐文章于 2022-05-20 20:24:13 发布
阅读量424 收藏
点赞数
文章标签: tp3.2 mysql elt出错
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39916355/article/details/113546106
版权
本文分析了ThinkPHP3.2.3版本中的SQL注入漏洞,特别是where注入问题。通过代码调试,展示了从I方法接收参数到最终SQL构建的过程,指出由于在某些情况下未对特定函数进行过滤,导致SQL注入的可能性。尽管有think_filter函数,但无法防御某些类型的注入。此外,文中还探讨了find、select和delete操作的注入情况,分析了不同参数传递方式如何影响注入的可能性。
摘要由CSDN通过智能技术生成

where注入

在控制器写如下demo开始测试public function ghtwf01(){

$data = M('users')->where('id='.I('id'))->find();

dump($data);

}

$data处下断点跟踪调试,F7进入

I方法中判断传参方式switch(strtolower($method)) {

case 'get' :

$input =& $_GET;

break;

case 'post' :

$input =& $_POST;

break;

case 'put' :

if(is_null($_PUT)){

parse_str(file_get_contents('php://input'), $_PUT);

}

$input = $_PUT;

break;

case 'param' :

switch($_SERVER['REQUEST_METHOD']) {

case 'POST':

$input = $_POST;

break;

case 'PUT':

if(is_null($_PUT)){

parse_str(file_get_contents('php://input'), $_PUT);

}

$input = $_PUT;

break;

default:

$input = $_GET;

}

判断出是GET传参,然后选择一个过滤方式

d6726ca5bbad5d46fa3545828d6e6529.png

跟进,返回过滤函数htmlspecialchars,然后使用该函数过滤传入的参数

9de487855e0bdbe58431d39636658dfe.png

这里因为$data不是数组所以没有使用think_filter函数过滤,我们也来看一下think_filter函数的内容function think_filter(&$value){

// TODO 其他安全过滤

// 过滤查询特殊字符

if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){

$value .= ' ';

}

}

并没有过滤updatexml报错注入函数,就算使用了think_filter过滤了,也没办法防御

接下来进入where函数,作用是将$where的值放入options['where']if(isset($this->options['where'])){

$this->options['where'] = array_merge($this->options['where'],$where);

}else{

$this->options['where'] = $where;

}

877c23b117d2dee554d16cfab1ebb16f.png

接下来进入find函数$options = $this->_parseOptions($options);

_parseOptions函数的作用是获取到表名和别名

9e2bc34a1353287266c77da5429435c7.png

继续进入select函数public function select($options=array()) {

$this->model = $options['model'];

$this->parseBind(!empty($options['bind'])?$options['bind']:array());

$sql = $this->buildSelectSql($options);

$result = $this->query($sql,!empty($options['fetch_sql']) ? true : false);

return $result;

}

跟进buildSelectSql函数public function buildSelectSql($options=array()) {

if(isset($options['page'])) {

// 根据页数计算limit

list($page,$listRows) = $options['page'];

$page = $page>0 ? $page : 1;

$listRows= $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);

$offset = $listRows*($page-1);

$options['limit'] = $offset.','.$listRows;

}

$sql = $this->parseSql($this->selectSql,$options);

return $sql;

}

再跟进parseSql方法public function parseSql($sql,$options=array()){

$sql = str_replace(

array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),

array(

$this->parseTable($options['table']),

$this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),

$this->parseField(!empty($options['field'])?$options['field']:'*'),

$this->parseJoin(!empty($options['join'])?$options['join']:''),

$this->parseWhere(!empty($options['where'])?$options['where']:''),

$this->parseGroup(!empty($options['group'])?$options['group']:''),

$this->parseHaving(!empty($options['having'])?$options['having']:''),

$this->parseOrder(!empty($options['order'])?$options['order']:''),

$this->parseLimit(!empty($options['limit'])?$options['limit']:''),

$this->parseUnion(!empty($options['union'])?$options['union']:''),

$this->parseLock(isset($options['lock'])?$options['lock']:false),

$this->parseComment(!empty($options['comment'])?$options['comment']:''),

$this->parseForce(!empty($options['force'])?$options['force']:'')

),$sql);

return $sql;

}

这里主要看parseWhere方法protected function parseWhere($where) {

$whereStr = '';

if(is_string($where)) {

// 直接使用字符串条件

$whereStr = $where;

}else{ // 使用数组表达式

$operate = isset($where['_logic'])?strtoupper($where['_logic']):'';

if(in_array($operate,array('AND','OR','XOR'))){

// 定义逻辑运算规则 例如 OR XOR AND NOT

$operate = ' '.$operate.' ';

unset($where['_logic']);

}else{

// 默认进行 AND 运算

$operate = ' AND ';

}

foreach ($where as $key=>$val){

if(is_numeric($key)){

$key = '_complex';

}

if(0===strpos($key,'_')) {

// 解析特殊条件表达式

$whereStr .= $this->parseThinkWhere($key,$val);

}else{

// 查询字段的安全过滤

// if(!preg_match('/^[A-Z_\|\&\-.a-z0-9\(\)\,]+$/',trim($key))){

// E(L('_EXPRESS_ERROR_').':'.$key);

// }

// 多条件支持

$multi = is_array($val) && isset($val['_multi']);

$key = trim($key);

if(strpos($key,'|')) { // 支持 name|title|nickname 方式定义查询字段

$array = explode('|',$key);

$str = array();

foreach ($array as $m=>$k){

$v = $multi?$val[$m]:$val;

$str[] = $this->parseWhereItem($this->parseKey($k),$v);

}

$whereStr .= '( '.implode(' OR ',$str).' )';

}elseif(strpos($key,'&')){

$array = explode('&',$key);

$str = array();

foreach ($array as $m=>$k){

$v = $multi?$val[$m]:$val;

$str[] = '('.$this->parseWhereItem($this->parseKey($k),$v).')';

}

$whereStr .= '( '.implode(' AND ',$str).' )';

}else{

$whereStr .= $this->parseWhereItem($this->parseKey($key),$val);

}

}

$whereStr .= $operate;

}

$whereStr = substr($whereStr,0,-strlen($operate));

}

return empty($whereStr)?'':' WHERE '.$whereStr;

}

跟进parseThinkWhere方法protected function parseThinkWhere($key,$val) {

$whereStr = '';

switch($key) {

case '_string':

// 字符串模式查询条件

$whereStr = $val;

break;

case '_complex':

// 复合查询条件

$whereStr = substr($this->parseWhere($val),6);

break;

case '_query':

// 字符串模式查询条件

parse_str($val,$where);

if(isset($where['_logic'])) {

$op = ' '.strtoupper($where['_logic']).' ';

unset($where['_logic']);

}else{

$op = ' AND ';

}

$array = array();

foreach ($where as $field=>$data)

$array[] = $this->parseKey($field).' = '.$this->parseValue($data);

$whereStr = implode($op,$array);

break;

}

return '( '.$whereStr.' )';

}

因为$key=__string,所以直接$whereStr = $val,然后break

最后返回完整的SQL语句

13f0b974e59a4b37b67f055b00bbeafa.png

然后执行

2fc4f6fbd198f7e623f6593d0103aa63.png

成功注入

find/select/delete注入

三种注入方法都一样,这里以find注入为例

在控制器写如下demo开始测试public function ghtwf01(){

$data = M('users')->find(I('id'));

dump($data);

}

$data处下断点跟踪调试,F7进入

同样的I方法判断传参方式,因为传入的是数组,所以这次会使用think_filter函数过滤,但是没有过滤报错函数,所以导致过滤没用

然后同样的在find方法里面跟进_parseOptions方法,因为$options['where']是String,所以不会执行if里面的_parseType方法if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {

// 对数组查询条件进行字段类型检查

foreach ($options['where'] as $key=>$val){

$key = trim($key);

if(in_array($key,$fields,true)){

if(is_scalar($val)) {

$this->_parseType($options['where'],$key);

}

......

继续看一看_parseType方法有什么过滤呢protected function _parseType(&$data,$key) {

if(!isset($this->options['bind'][':'.$key]) && isset($this->fields['_type'][$key])){

$fieldType = strtolower($this->fields['_type'][$key]);

if(false !== strpos($fieldType,'enum')){

// 支持ENUM类型优先检测

}elseif(false === strpos($fieldType,'bigint') && false !== strpos($fieldType,'int')) {

$data[$key] = intval($data[$key]);

}elseif(false !== strpos($fieldType,'float') || false !== strpos($fieldType,'double')){

$data[$key] = floatval($data[$key]);

}elseif(false !== strpos($fieldType,'bool')){

$data[$key] = (bool)$data[$key];

}

}

}

使用$data[$key] = intval($data[$key]);进行了强制int,导致无法注入

回到刚才的分析中,进入select->buildSelectSql->parseSql->parseWhere

f073cf960a80a4c02b700d5113281a0d.png

但是如果直接传入?id=String

那么就会触发_parseOptions里面的_parseType方法,导致注入失败

因为如果这样,这儿的$options['where']是一个数组,满足执行_parseType的条件,但是不满足in_array($key,$fields,true),还是进不去_parseType函数,但是就能逃过吗,后面执行了unset函数,删除了$options['where']['id'],注入语句都没有,也就没法注入了

梳理一下find注入,关键代码位于find方法public function find($options=array()) {

if(is_numeric($options) || is_string($options)) {

$where[$this->getPk()] = $options;

$options = array();

$options['where'] = $where;

}

......

如果传入的是id['where'],那么$options['where']就是一个字符串

eb75113fed03d1f2427434f0c0ccbe4f.png

不会进行后续处理

如果传入的是id,那么$options就会变成一个二维数组,$options['where'][id]才是字符串,$options['where']是一个数组public function find($options=array()) {//$options = String

if(is_numeric($options) || is_string($options)) {

$where[$this->getPk()] = $options;//$where['id'] = String

$options = array();

$options['where'] = $where;//$options['where'] = {"id":String}

}

weixin_39916355
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Thinkphp3.2 表达式查询eq,neq,gt,egt,lt,elt,in,between,like,exp
Dove言和
09-10 2235
使用查询表达式支持更多的SQL查询语法,也是ThinkPHP查询语言的精髓,查询表达式的使用格式: $map['字段名'] = array('表达式','查询条件'); 表达式不分大小写,支持的查询表达式有下面几种,分别表示的含义是: 表达式 含义 协助记忆 EQ 等于(=) equal NEQ 不等于(<>) not equal ...
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
ThinkPHPSQL0day:ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!
07-02
ThinkPHPSQL0day ThinkPHP3.0~3.3 betweenSQL注入的sqlmap Tamper!
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4575
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkPHP3.2.3sql注入漏洞
qq_50589021的博客
10-05 4364
前言 攻敌所必救: ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 Thinkphp3.2.3 安全开发须知 搭建: 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)!!!! 创建数据库,表名一定与你接下来要M的名字的相对应 连接数据库的文件不多说了,自己配置:ThinkPHP/Conf/convention.php 配置控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\Ind
mysql 注入 3.0_ThinkPHP 3.0~3.2 SQL注入漏洞详解与利用
weixin_33520805的博客
01-19 544
0x00 背景thinkphp最近漏洞频出,这个漏洞属于危害特别大的,以现有的程序员写法,应该都是有漏洞的。自己也测试了几个站点,在利用的时候碰到的一点问题,总结一下。0x01 漏洞信息漏洞文件位置ThinkPHPLibraryThinkDb.class.phpparseWhereItem函数由于对between关键字的正则匹配错误,导致了SQL注入。详情可以上乌云:http://www.wooy...
【安全漏洞ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1649
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
ThinkPHP3.2.3查询两个日期之间的数据
smile丶hm的博客
05-24 1万+
HTML页面: div class="input-group"> span>录入日期起span> input type="text" name="rqstart" id="rqstart" class="Wdate" style="height:30px;width: 140px" value="{$rqstart}" placeholder="点击选择录入日期起" on
Swoole整合ThinkPHP3.2系列教程四
一个不靠谱的程序员
08-29 2521
在cli环境下,PHP程序需要长时间运行,客户端与MySQL服务器之间的TCP连接是不稳定的。 MySQL-Server会在一定时间内自动切断连接 PHP程序遇到空闲期时长时间没有MySQL查询,MySQL-Server也会切断连接回收资源 其他情况,在MySQL服务器中执行kill process杀掉某个连接,MySQL服务器重启 所以我们要考虑数据库断线重连的问题,但是ThinkPHP3.2里D
tp3.2 mysql elt出错_tp3.2.3 上传到服务器就出错 本地测试正常`
weixin_34618526的博客
01-19 116
Undefined class constant 'MYSQL_ATTR_INIT_COMMAND'PHP Version 5.3.17extension=php_pdo_mysql.dll 也是开放的。本地测试正常上传到服务器就出错3.2.3//'配置项'=>'配置值''DB_TYPE'=>'mysql', //设置数据库类型'DB_HOST'=>'locahost,//设置主...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
tp3.2 mysql elt出错_thinkphp 3.2.3 exp注入漏洞分析
weixin_35775807的博客
01-30 384
1.EXP注入漏洞分析:在官网下载thinkphp3.2.3然后在ThinkPHP\Conf\convention.php配置好MySQL帐号密码再添加一行,用来打印sql语句'SHOW_PAGE_TRACE' =>true,Application\Home\Controller\IndexController.class.php漏洞代码public function index(){$id...
tp3.2 mysql elt出错_针对TP3.2.X SQL注入漏洞的解决办法
weixin_36469247的博客
01-19 228
程序部分1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意2.任何密码要有等级检测, 密码位数提高到8位以上3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置)5.密码要先在本地加密(SHA1)6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密钥, 注意同一项目密钥一...
ThinkPHP3.2 表达式EQ,NEQ,GT,EGT,LT,ELT
CBDLL的博客
04-05 1万+
这些表达式可以作为条件使用,不区分大小写 格式: $condition[‘字段名’] = array(‘表达式’,‘查询条件’); $id = I('post.id'); $condition['id'] = array('EQ', $id); //条件里的id等于$id $condition['price'] = array('EGT', 500); //条件里的price大于等于500 $r...
TP 中的gt egt lt elt
热门推荐
秋瑾的博客
06-07 1万+
eq 或者 equal :等于 neq 或者 notequal :不等于 gt :大于 egt :大于等于 lt :小于 elt :小于等于 heq :恒等于
tp3.2.3 模型模块 t1
O_o_________的博客
05-08 1126
一.字段定义    1.通常每个模型类是操作某个数据表,在大多数情况下,系统会自动获取当前数据表的字段信息。系统会在模型首次实例化的时候自动获取数据表的字段信息(而且只需要一次,以后会永久缓存字段信息,除非设置不缓存或者删除),如果是调试模式则不会生成字段缓存文件,则表示每次都会重新获取数据表字段信息。如果在开发的时候经常变动数据库的结构,而不希望进行数据表的字段缓存,可以在项目配置文件中增加如下...
SQL注入实战总结
qq_44657899的博客
06-16 1574
文章目录0x01 联合注入:union0x02 boolean注入 盲注 0x01 联合注入:union database()库名 user()用户 version()版本号 load_file('/etc/passwd') group_concat(password) 0x02 boolean注入 盲注 基本思路 and 1=1 返回1 yes and 1=2 返回0 no 判断数据库长度 ' and lenth(database())>=4 --+ 判断数据库名字 ' and substr(d
Thinkphp3.2(tp3.2) sql语句表达式查询字符列表【eq,neq,gt,egt,lt,elt,in,between,like,exp】
PHPArchitect的博客
07-08 2448
上面的查询条件仅仅是一个简单的相等判断,可以使用查询表达式支持更多的SQL查询语法,也是ThinkPHP查询语言的精髓,查询表达式的使用格式: $map['字段名'] = array('表达式','查询条件'); 表达式不分大小写,支持的查询表达式有下面几种,分别表示的含义是: 表达式 含义 协助记忆 EQ 等于(=) equal NEQ 不等于(<>) not equal GT 大于(>) greater EGT
thinkphp 3.2预防sql注入、对查询的sql过滤
tingliting的专栏
01-04 6729
thinkphp 3.2预防sql注入、对查询的sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
mysql elt(1,asc,desc,asc)
最新发布
09-03
mysqlELT()函数是用来选择一个值作为结果返回。ELT()的语法如下: ELT(n, string1, string2, string3, ...) 其中n是要选择的值的索引,string1,string2,string3等是要选取的字符串。 根据题目给出的例子,ELT(1, asc, desc, asc)的意思是选择索引1的值。在这个例子中,索引1对应的值是asc,所以结果返回的是asc。 ELT()函数在实际应用中比较少见,一般用于根据索引来选择对应的值,常用于动态生成文本的场景中。通过ELT()函数,我们可以根据数据库中存储的索引值来选择需要的字符串,例如根据数字1选择"男",根据数字2选择"女",从而实现在数据库查询结果中显示可读性更高的内容。 在题目给出的例子中,由于索引1的值是asc,所以结果返回的是asc。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值