ThinkPHP5漏洞分析之SQL注入3

时间：2023-11-12 09:02:21浏览次数：56

标签：username 调用 ThinkPHP5 漏洞 SQL where select

漏洞概要

本次漏洞存在于 Mysql 类的 parseWhereItem 方法中。由于程序没有对数据进行很好的过滤，将数据拼接进 SQL 语句，导致 SQL注入漏洞 的产生。漏洞影响版本： ThinkPHP5全版本 。

漏洞环境

通过以下命令获取测试环境代码：

composer create-project --prefer-dist topthink/think=5.0.10 tpdemo

将 composer.json 文件的 require 字段设置成如下：

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.10"
},

然后执行 composer update ，并将 application/index/controller/Index.php 文件代码设置如下：

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username');
        $result = db('users')->where('username','exp',$username)->select();
        return 'select success';
    }
}

在 config/database.php 文件中配置数据库相关信息，并开启 config/app.php 中的 app_debug 和 app_trace 。创建数据库信息如下：

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,'mochazz');

访问 http://localhost:8000/index/index/index?username=) union select updatexml(1,concat(0x7,user(),0x7e),1)# 链接，即可触发 SQL注入漏洞 。（没开启 app_debug 是无法看到 SQL 报错信息的）

漏洞分析

由于官方根本不认为这是一个漏洞，而认为这是他们提供的一个功能，所以官方并没有对这个问题进行修复。但笔者认为这里的数据过滤还是存在问题的，所以我们还是来分析分析这个漏洞。

程序默认调用 Request 类的 get 方法中会调用该类的 input 方法，但是该方法默认情况下并没有对数据进行很好的过滤，所以用户输入的数据会原样进入框架的 SQL 查询方法中。首先程序先调用 Query 类的 where 方法，通过其 parseWhereExp 方法分析查询表达式，然后再返回并继续调用 select 方法准备开始构建 select 语句。

上面的 $this->builder 为 \think\db\builder\Mysql 类，该类继承于 Builder 类，所以接着会调用 Builder 类的 select 方法。在 select 方法中，程序会对 SQL 语句模板用变量填充，其中用来填充 %WHERE% 的变量中存在用户输入的数据。我们跟进这个 where 分析函数，会发现其会调用生成查询条件 SQL 语句的 buildWhere 函数。

继续跟进 buildWhere 函数，发现用户可控数据又被传入了 parseWhereItem where子单元分析函数。我们发现当操作符等于 EXP 时，将来自用户的数据直接拼接进了 SQL 语句，最终导致了 SQL注入漏洞 。

漏洞修复

未修复。

攻击总结

最后，再通过一张攻击流程图来回顾整个攻击过程。

标签：username,调用,ThinkPHP5,漏洞,SQL,where,select
From： https://www.cnblogs.com/h1ck0r/p/17826731.html

ThinkPHP5漏洞分析之SQL注入4
漏洞概要本次漏洞存在于Mysql类的parseWhereItem方法中。由于程序没有对数据进行很好的过滤，直接将数据拼接进SQL语句。再一个，Request类的filterValue方法漏过滤NOTLIKE关键字，最终导致SQL注入漏洞的产生。漏洞影响版本：ThinkPHP=5.0.10。漏洞环境通过以下命令获......
ThinkPHP5漏洞分析之SQL注入5
漏洞概要本次漏洞存在于Builder类的parseOrder方法中。由于程序没有对数据进行很好的过滤，直接将数据拼接进SQL语句，最终导致SQL注入漏洞的产生。漏洞影响版本：5.1.16<=ThinkPHP5<=5.1.22。漏洞环境通过以下命令获取测试环境代码：composercreate-project--prefer-dist......
ThinkPHP5漏洞分析之SQL注入6
漏洞概要本次漏洞存在于所有Mysql聚合函数相关方法。由于程序没有对数据进行很好的过滤，直接将数据拼接进SQL语句，最终导致SQL注入漏洞的产生。漏洞影响版本：5.0.0<=ThinkPHP<=5.0.21、5.1.3<=ThinkPHP5<=5.1.25。不同版本payload需稍作调整：5.0.0~5.0.21、5.1.3～5.1.......
嵌入式开发SQLite 快速掌握
SQLite是什么SQLite又称（RDBMS）它是本地数据库，可以用在手机，嵌入式设备的精简数据库和大名的mysql一样的数据库存，只是可以理解为它是精简版，事务处理、表连接、索引、触发器等都支持，只是在有些操作时考虑宿主机内存，（在某些地方对某多功能没有这么强，比如更新时对字段结构批量操作会不......
MySQL的函数
MySQL的函数概述：在MySQL中，为了提高代码重用性和隐藏实现细节，MySQL提供了很多函数函数可以理解为别人封装好的模板代码（相当于java中的方法）在MySQL中，函数非常多，主要可以分为以下几类聚合函数数学函数字符串函数日期函数控制流函数窗口函数聚合函数——group_concat()概述：在MySQL中，聚......
01MySQL
数据演变史#1.单独的文本文件没有固定的存放位置:C:\a.txtD:\aaa\c.txtF:\bbb\b.txt没有固定的数据格式:jason|123tony$123kevin~123'''程序彼此无法兼容没有统一的标准'''#2.软件开发目录规范按照文件功能的不同规定了相应的位置'''文件查找变得统一......
Entity FrameworkCore（EFCore）使用SqlServer、Mysql和Sqlite
EntityFrameworkCore（EFCore）使用SqlServer、Mysql和Sqlite使用工厂方法模式创建抽象工厂类{publicDbSet<Blog>Blogs{get;set;}publicDbSet<Post>Posts{get;set;}}```......
MySQL 数据库查询与数据操作：使用 ORDER BY 排序和 DELETE 删除记录
使用ORDERBY进行排序使用ORDERBY语句按升序或降序对结果进行排序。ORDERBY关键字默认按升序排序。要按降序排序结果，使用DESC关键字。示例按名称按字母顺序排序结果：importmysql.connectormydb=mysql.connector.connect(host="localhost",user="yourusernam......
MySQL 数据库查询与数据操作：使用 ORDER BY 排序和 DELETE 删除记录
使用ORDERBY进行排序使用ORDERBY语句按升序或降序对结果进行排序。ORDERBY关键字默认按升序排序。要按降序排序结果，使用DESC关键字。示例按名称按字母顺序排序结果：importmysql.connectormydb=mysql.connector.connect(host="localhost",user="youruserna......
二进制漏洞挖掘与利用-第二部分
二进制漏洞挖掘与利用-第二部分1.ROP概念ROP全名为：返回导向编程ROP的全称为Return-orientedprogramming（返回导向编程），这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御（比如内存不可执行和代码签名等）。当你想要执行一段攻击代码（代码）时，发现这段......