首页 > 数据库 >学习笔记-ThinkPHP5之SQLI审计分析(一)

学习笔记-ThinkPHP5之SQLI审计分析(一)

时间:2022-11-09 09:35:54浏览次数:70  
标签:username index val insert ThinkPHP5 笔记 SQLI result key

ThinkPHP5之SQLI审计分析(一)

Time:8-31

影响版本:5.0.13<=ThinkPHP<=5.0.15、 5.1.0<=ThinkPHP<=5.1.5

Payload:

/public/index.php/index/index?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

0x00 测试代码做了什么?

<?php
namespace app\index\controller;

class Index
{
public function index()
{
$username = request()->get('username/a');
db('users')->insert(['username' => $username]);
return 'Update success';
}
}

index控制器是默认的TP框架程序的入口,该测试代码在index控制器下新建了一个index方法(实际上本来的index方法是tp的欢迎页面,这里是覆盖替换掉原来的)。逐行来看该测试代码:获取get请求的username参数->进行数据库的insert操作->输出Update success

其中,username/a不明白是什么意思,就跟进get方法去看一下它怎么处理的:

thinkphp/library/think/Request.php

第676行可以看到$name允许是一个数组,但是测试代码中传入的是username/a字符串。674行GET方式接受的数据最后进入input方法,接着看下做了如何处理:

这里看到将$name参数以/分割为了$name$type,而$type接下来被用到的地方是强制类型转换:

到这里就知道了a是一种修饰符,查看开发手册得知所有的定义好的修饰符。

同样的下断点看也可以证明$username最后其实是一个数组:(并不是因为payload是数组形式,而是由/a修饰符决定的)

然后接下来就进入到执行数据库插入操作的insert方法了。(9行这条代码的意思是向users表的username字段插入$username)

0x01 调用链分析

现在已知$username是一个数组,传入insert方法。跟进insert跳到:

thinkphp/library/think/db/Query.php

发现其内又调用了$this->builder->insert方法,且注释是生成SQL语句。文件内搜索看看builder是如何定义的:

为了方便,直接在130行下断点,得到了$class的值:(这里可以随便传个参数比如username=1进去,因为主要是为了知道调用的哪里)

所以,$this->builder实际上是一个Mysql类的对象,而Mysql(thinkphp/library/think/db/builder/Mysql.php)是继承于Builder类的,且Mysql类里面并没有实现insert方法,所以最终调用的还是Builder类的insert方法:

thinkphp/library/think/db/Builder.php

经过上述跟进代码分析,最终得知,入口调用的insert方法最终调用的实际上是调用的Builder->insert()方法来生成SQL语句。接下来应该由内向外分析看看有没有什么有效的过滤措施。

0x02 分析最内层调用的处理

分析这个生成SQL语句(之前有个注释)的方法具体做了什么,跟进它的parseData方法:(86行

protected function parseData($data, $options)
{
if (empty($data)) {
return [];
}

// 获取绑定信息
$bind = $this->query->getFieldsBind($options['table']);
if ('*' == $options['field']) {
$fields = array_keys($bind);
} else {
$fields = $options['field'];
}

$result = [];
foreach ($data as $key => $val) {
$item = $this->parseKey($key, $options);
if (is_object($val) && method_exists($val, '__toString')) {
// 对象数据写入
$val = $val->__toString();
}
if (false === strpos($key, '.') && !in_array($key, $fields, true)) {
if ($options['strict']) {
throw new Exception('fields not exists:[' . $key . ']');
}
} elseif (is_null($val)) {
$result[$item] = 'NULL';
} elseif (is_array($val) && !empty($val)) {
switch ($val[0]) {
case 'exp':
$result[$item] = $val[1];
break;
case 'inc':
$result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
break;
case 'dec':
$result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
break;
}
} elseif (is_scalar($val)) {
// 过滤非标量数据
if (0 === strpos($val, ':') && $this->query->isBind(substr($val, 1))) {
$result[$item] = $val;
} else {
$key = str_replace('.', '_', $key);
$this->query->bind('data__' . $key, $val, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);
$result[$item] = ':data__' . $key;
}
}
}
return $result;
}

这个函数最后return了$result变量,那么我们就看看函数体内是怎样处理$result变量的:

①首先,这个函数的第一个参数是$data,来源于最开始Query.phpinsert方法的2084行:

进行了一个数组合并操作把合并的结果再赋给$data,那么合并后的$data也是一个数组,且有一个键的键名为username(因为$data本来是['username' =>$username],在入口的第9行)。

②然后,这个函数在100行初始化了$result变量,然后101行用foreach分离$data$key$val$key变成了$item:

此时的$val是可控的、get方式传入的、等价于$username第113行判断如果$val是个数组,进入switch分支

$val[0]也就是payload中的username[0]根据不同的值进入不同的三个分支,但是可以看到每个分支的处理都是直接拼接$val[1]$val[2] 赋给 $result[$item],也就是$result['username'],唯一调用的parseKey并没有什么作用:

③最后,返回$result (也就是赋值给Query.phpinsert方法2084行的$data),至此parseData的主要功能就分析的差不多了。

接着看Builder类的insert方法在调用了parseData之后又干了什么:

$data中取出键值分别赋值给代表字段名和字段值的变量,简单的替换29-33行定义的SQL语句模型,返回生成好的SQL语句。

0x03 分析上一层调用的处理

之后还有两处调用函数,即getBind()getRealSql()但是跟进去看了下都没有任何数据清洗,仅仅是数据处理的一些解析操作。然后就到了execute()去执行SQL语句了。至此,整个处理流程基本上就分析完了,满足SQL注入漏洞的前提条件:①参数用户可控②参数直接拼接到SQL语句中,无任何有效过滤。

0x04 Payload构造

漏洞的利用点还是在最内层调用的parseData方法中,根据刚才的分析已经知道的$val实际上就是传入的username,那么$val[0]$val[1]$val[2]都是可控的,只要传入满足条件的值即可,因为是insert操作,所以选择用报错函数进行注入:

构造username[0]=inc,进入inc分支。

构造username[1]=updatexml(1,concat(0x7e,user(),0x7e),1),实际的报错语句。

构造username[2]=1,只是为了补齐数组元素个数。

再加上index控制器的index方法的访问路径/public/index.php/index/index/

最后连起来就是

/public/index.php/index/index/?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1

本意是代码审计,就不考虑再如何利用了。

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

标签:username,index,val,insert,ThinkPHP5,笔记,SQLI,result,key
From: https://www.cnblogs.com/haidragon/p/16872497.html

相关文章

  • Linux学习笔记(8)——正则表达式与文件格式化处理
    正则表达式与文件格式化处理正则表达式与文件格式化处理一、什么是正则表达式?二、基础正则表达式2.1语系对正则表达式的影响2.2grep的一些高级选项2.3基础正则......
  • Kubernetes Service 笔记
    ServiceK8SService可以简单理解为逻辑上的一组Pod。一种可以访问Pod的策略,其他Pod可以通过这个Service访问到这个Service代理的Pod。相对于Pod而言,它会有一个固定的名称......
  • FreeSWITCH学习笔记:安装
    本文更新于2022-11-08。目录版本源代码在Debian10下安装指定安装目录安装PostgresSQL原生支持安装Java的ESL库其他安装操作直接进入模块目录安装模块使用Makefile安装在W......
  • JWT笔记
    什么是JWT全程为“JsonWebToken”,其本质就是一个字符串,是将用户信息保存到一个Json字符串中,然后进行编码后得到token字符串,并且这个token带有签名信息,接收后可以校验......
  • shell-文本处理学习笔记
    grep和egrep第一种形式:grep[option][pattern][file1file2...]第二种形式:command|grep[option][patern]选项:option-v不显示匹配行grep-vpythonfile......
  • Spring+SpringMVC学习笔记
    Spring学习笔记转载:https://www.yuque.com/kkuping/yuqzh2/vlgfylSpringMVC学习笔记转载:https://www.yuque.com/kkuping/yuqzh2/nxtocy......
  • c语言提高学习笔记——03-c提高10day_数据结构
    在学习c语言提高-数据结构总结了笔记,并分享出来。有问题请及时联系博主:​​Alliswell_WP​​,转载请注明出处。03-c提高10day_数据结构目录:一、队列(Queue)1、队列基本概念2......
  • Redis笔记
    概述Redis是一个内存数据库,也就是指存储到内存条上的数据,而MySQL是一个外存数据库,将数据库存储在硬盘(外存)中一、Linux安装下载完毕后,解压压缩包(自己找目录)tar-zxv......
  • 离散数学笔记-- 谓词
    基本概念:  看下面的小例子: 特性谓词,拓展定义域的时候: 看看就行: 具体展开:    具体应用3步骤:   一些逻辑变化:  仔细看下面的例......
  • UE4学习笔记16——【蓝图】冲刺;瞬移;多段跳
    P48.冲刺、瞬移、多段跳P48打开小白人的蓝图类,新建图表命名为“冲刺和瞬移”点一下组件中的“角色移动”,把细节中的“最大行走速度”改成93  添加节点“......