ThinkPHP5.0.15代码审计【SQL注入】

最新推荐文章于 2024-08-11 19:27:09 发布
最新推荐文章于 2024-08-11 19:27:09 发布
阅读量579 收藏
点赞数 2
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/116401771
版权

ThinkPHP SQL注入 漏洞分析 修复策略 安全编程
关键词由CSDN通过智能技术生成

文章目录

简介

parseData() 这个方法中出现对dec、inc两种情况的考虑不周从而拼接导致的SQL注入(Insert方法注入)
漏洞利用版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5

环境搭建

到官网下载TP 5.0.15的源码

新建一个数据库,这里我建立了一个tpdemo库,其中有个users表

composer.json填写版本
在这里插入图片描述
application/index/controller/Index.php中配置:

public function index()//控制方法
{
   $username = request()->get('username/a');
   db('users')->insert(['username'=>$username]);
   return 'Update success';
}

application/database.php配置数据库信息
在这里插入图片描述
application/config.php开启调试模式

'app_debug'              => true,
'app_trace'              => true,

先给出payload:

http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1 
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=dec&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

在这里插入图片描述

分析

在这里插入图片描述

首先看index控制器,username这个参数要接收数组形式!所以我们写成了get('username/a'),注意后面的/a就是要求传入数组形式。数组形式是后面利用的前提。

$username经过 request()->get('username/a');后得到一个数组:
在这里插入图片描述

接着进入 insert()方法,会跳转到thinkphp/library/think/db/Query.php的insert()方法
在insert方法中主要是这几行代码:分析了我们有用到什么表达式、将数据整合成一个数组$data,然后生成SQL语句并执行
在这里插入图片描述

$options = $this->parseExpress();实际得到我们的表名,其他的用不着
在这里插入图片描述
$data = array_merge($options['data'], $data);将参数数组 合并成一个数组
在这里插入图片描述
$sql = $this->builder->insert($data, $options, $replace);这是生成SQL语句的,但这行代码又调用了insert方法,这里看的时候有点疑惑$this->builder是哪个类的对象,看大佬说: Mysql 类继承于 Builder 类,即上面的 $this->builder->insert() 最终调用的是 Builder 类的 insert 方法。

既然这样我们跟进到thinkphp/library/think/db/Builder.php/下Builder 类的insert()方法看看如何生成SQL语句
在这里插入图片描述
先跟进看parseExpress()这个方法,其中$data的key值和value值都被赋值给相应变量,当$val是数组、且$val[0]是inc或者dec时就会进行拼接,返回$data=$val[1] + $val[2],而这个$data是我们insert进去的数据,因此可以想到在INSERT....VALUE()这个SQL语句VALUE()中插入我们的恶意数据!这也回应一开始为什么需要传入数组形式了
在这里插入图片描述

执行完parseData(),回到insert方法中此时的$dataupdatexml(1,concat(0x7,user(),0x7e),1)+1
在这里插入图片描述
然后通过str_replace()函数对既定表达式$insersql进行数据替换
在这里插入图片描述

最终SQL语句:
INSERT INTO `users` (`username`) VALUES (updatexml(1,concat(0x7,user(),0x7e),1)+1)

既定INSERT语句:
'%INSERT% INTO %TABLE% (%FIELD%) VALUES (%DATA%) %COMMENT%';

得到SQL语句后回退到thinkphp/library/think/db/Query.php,最后通过execute()执行就触发了SQL注入
在这里插入图片描述

payload:
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1 
http://127.0.0.1/thinkphp_5.0.15_full/Index.php?username[0]=dec&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

当然还可以不利用报错而是直接向数据库中插入数据:例如我们插入username为66的数据

payload:
username[0]=inc&username[1]=66),(1&username[2]=1 

SQL语句中:
INSERT INTO `users` (`username`) VALUES (66),(1+1)

七月火师傅的攻击流程图:
在这里插入图片描述

修复

我们到GitHub上看看官方是如何修复的:
https://github.com/top-think/framework/compare/v5.0.15...v5.0.16
找到Builder.php ,发现是在增加了检查了$key是否等于$val[1]的步骤
在这里插入图片描述

D.MIND
关注
专栏目录
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1188
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
ThinkPHP3.2.X SQL注入漏洞的解决方案
amaoatao的博客
03-09 3548
程序部分 1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意 2.任何密码要有等级检测, 密码位数提高到8位以上 3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过 4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置) 5.密码要先在本地加密(SHA1) 6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密...
php 远程执行sh,ThinkPHP 5.* 远程命令执行漏洞复现与GETSHELL
weixin_35067976的博客
03-23 238
Thinkphp 下载地址:http://www.thinkphp.cn/donate/download/id/1125.html ThinkPHP5.0.15完整版本地环境搭建phpstudy ,在WWW根目录建立文件夹放入代码如果想要开启 debug 报错 在目录建立 文件里面的内容写: APP_DEBUG = true成功开启debug报错漏洞复现:漏洞exp: index...
ThinkPHP v5.0.15 完整版
02-06
软件介绍 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。 ThinkPHP v5.0.15 更新日志: 改进View类 改进chunk方法 改进模板引擎的表达式语法 改进自关联查询多级调用问题 关联定义增加`selfRelation`方法用于设置是否自关联 改进file类型的缓存`inc`和`dec`方法不改变缓存有效期 改进软删除 支持设置`deleteTime`属性关闭 改进`union`查询 改进查询缓存 优化File缓存自动生成空目录的问题 改进日志写入并发问题 修正`MorphTo`关联 改进`join`自关联查询 改进`case`标签解析 改进Url类对`url_convert`配置的支持
ThinkPHP5.0.15漏洞解析及SQL注入
最新发布
m0_70638961的博客
08-11 363
通过查看5.0.155.0.16版本的对比,可以看到16版本对在Builder.php里面对数据库的增减做了修正,所以可以15版本的漏洞就存在在这里。这里的代码用的拼接的方式,就可以尝试使用报错注入来实现。到了这里就发现,我们注入的三个值在这里派上了用场,val[1]就是注入的报错语句,这里走完,返回的就是报错注入语句+1,接下来我们继续走,一直走到这里。为了清楚代码是怎么走的,我们可以在insert()打一个断点,重新提交后就可以进入断点了,这里我们可以看到username有三个值。
Thinkphp5.0.15 SQL注入
feng的博客
03-05 1795
前言 刚把tp5的RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 613
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
12-PHP代码审计——ThinkPHP5.0.15 update注入分析
网络安全
05-06 833
环境: thinkphp_5.0.15_full poc: level[0]=inc&level[1]=updatexml(1,concat(0x7,user(),0x7e),1)&level[2]=1 下载ThinkPHP5.0.15解压到www.tptest.com目录下,并在phpstudy中将域名站点的网站目录改为ThinkPHP5.0.15的public目录。 在application目录的config.php文件中开启跟踪调试模式,如下所示: // 应.
ThinkPHP 开发框架 v5.0.15 核心版
11-25
7. **自动化测试**:通过`.travis.yml`文件,可以看到ThinkPHP 5.0.15对持续集成的支持,开发者可以利用这个特性进行自动化测试,确保代码质量。 8. **Composer支持**:`composer.json`文件表明ThinkPHP 5.0.15遵循...
ThinkPHP 开发框架 v5.0.15 完整版
11-07
1. **面向对象设计**:ThinkPHP 5.0.15完全基于面向对象编程,遵循SOLID原则,支持命名空间,使得代码结构更加清晰,可维护性更强。同时,它引入了依赖注入容器,允许开发者灵活地控制对象的创建和依赖关系,提高了...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
【PHP代码审计ThinkPHP代码审计
ssrf
02-24 1037
目录0x001 开发方式0x002 审计流程1)启用调试开关2)版本查看3)定位函数4)测试是否存在漏洞5)版本自身漏洞 0x001 开发方式 在审计源码时根据不同的开发方式对应不同的审计方法。 自写:有的站点虽然使用了thinkphp但并没有按照官方给的开发文档进行开发,没有引入内置的过滤机制导致出现安全问题。 (正常审计流程。) 不安全写法:未全部引用内置过滤。(寻找没有引用内置过滤的地方。) 规则写法:这种开发方式是相对安全的,因为框架的过滤机制比较完善。审计方式一般分为两种,寻找对应的版本漏
一次复现审计ThinkPHP5.0.15版本的sql注入
p_utao的博客
01-22 317
关于tp框架 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
ThinkPHP5.1.22代码审计SQL注入
D.MIND 的博客
05-08 295
文章目录简介环境搭建分析1分析2payload修复 简介 由于Builder类中的parseOrder方法没有对$key值做严格过滤导致在Mysql类中的parseKey方法处实现恶意拼接,最终导致 SQL注入漏洞 的产生(orderby方法注入) 漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22 。 环境搭建 composer create-project --prefer-dist topthink/think=5.1.22 thinkphp_5.1.22 依旧是下载好后
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7051
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP5.0.10代码审计SQL注入
D.MIND 的博客
05-07 696
composer create-project --prefer-dist topthink/think=5.0.10 thinkphp_5.0.10 下载好的thinkphp目录有问题,我们要去官网上下一个目录,链接:https://github.com/top-think/framework/archive/refs/tags/v5.0.10.zip下载好打开成这样: 把这些文件都拷贝到原先composer下载好的thinkphp目录中即可: 把application/index/controll
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3814
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP5代码审计【聚合函数引起的SQL注入
D.MIND 的博客
05-09 339
文章目录简介环境搭建分析payload修复 简介 Mysql 聚合函数相关方法均存在注入 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。 漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 Payload IN :5.0.0~5.0.21 、 5.1.3~5.1.10 id)%2bupdatexml(1,co
ThinkPHP3.2.3 SQL注入分析:update注入详解
在IT安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过输入恶意的SQL代码来操纵数据库。这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本中存在的一个SQL注入漏洞。ThinkPHP是一个广泛使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值