首页 > 数据库 >ThinkPHP5漏洞分析之SQL注入2

ThinkPHP5漏洞分析之SQL注入2

时间:2023-11-12 09:02:34浏览次数:44  
标签:username users ThinkPHP5 漏洞 SQL 方法 id

漏洞概要

本次漏洞存在于 Mysql 类的 parseArrayData 方法中由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

漏洞环境

通过以下命令获取测试环境代码:

composer create-project --prefer-dist topthink/think tpdemo

composer.json 文件的 require 字段设置成如下:

"require": {
    "php": ">=5.6.0",
    "topthink/framework": "5.1.7"
}

然后执行 composer update ,并将 application/index/controller/Index.php 文件代码设置如下:

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username/a');
        db('users')->where(['id' => 1])->update(['username' => $username]);
        return 'Update success';
    }
}

config/database.php 文件中配置数据库相关信息,并开启 config/app.php 中的 app_debugapp_trace 。创建数据库信息如下:

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,'mochazz');

访问 http://localhost:8000/index/index/index?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)^&username[3]=0 链接,即可触发 SQL注入漏洞 。(没开启 app_debug 是无法看到 SQL 报错信息的)

1

漏洞分析

2

首先在官方发布的 5.1.9 版本更新说明中,发现其中提到该版本包含了一个安全更新,我们可以查阅其 commit 记录,发现其删除了 parseArrayData 方法,这处 case 语句之前出现过 insert 注入,所以比较可疑。

3

接着我们直接跟着上面的攻击 payload 来看看漏洞原理。首先, payload 数据经过 ThinkPHP 内置方法的过滤后(不影响我们的 payload ),直接进入了 Query 类的 update 方法,该方法调用了 Connection 类的 update 方法,该方法又调用了 $this->builderinsert 方法,这里的 $this->builder\think\db\builder\Mysql 类,该类继承于 Builder 类,代码如下:

4

Builder 类的 update 方法中,调用了 parseData 方法。这个方法中的 case 语句之前存在 SQL注入漏洞 ,现已修复,然而却多了 default 代码段,而这段代码也是在新版本中被删除的。

5

我们跟进到 parseArrayData 方法,发现其中又将可控变量进行拼接,其变量来源均来自用户输入。之后的过程就和之前的 insert 注入一样,用 str_replace 将变量填充到 SQL 语句中,最终执行,导致 SQL注入漏洞

6

上面 第15行$result 相当于 $a('$b($c)') 其中 $a、$b、$c 均可控。最后形成的 SQL 语句如下:

UPDATE `users`  SET `username` = $a('$b($c)')  WHERE  `id` = 1;

接着我们想办法闭合即可。我们令 $a = updatexml(1,concat(0x7,user(),0x7e),1)^$b = 0$c = 1 ,即:

UPDATE `users` SET `username` = updatexml(1,concat(0x7,user(),0x7e),1)^('0(1)') WHERE `id` = 1

漏洞修复

官方修复方法比较暴力,直接将 parseArrayData 方法删除了。

7

攻击总结

最后,再通过一张攻击流程图来回顾整个攻击过程。

8

标签:username,users,ThinkPHP5,漏洞,SQL,方法,id
From: https://www.cnblogs.com/h1ck0r/p/17826730.html

相关文章

  • ThinkPHP5漏洞分析之SQL注入3
    漏洞概要本次漏洞存在于Mysql类的parseWhereItem方法中。由于程序没有对数据进行很好的过滤,将数据拼接进SQL语句,导致SQL注入漏洞的产生。漏洞影响版本:ThinkPHP5全版本。漏洞环境通过以下命令获取测试环境代码:composercreate-project--prefer-disttopthink/think=......
  • ThinkPHP5漏洞分析之SQL注入4
    漏洞概要本次漏洞存在于Mysql类的parseWhereItem方法中。由于程序没有对数据进行很好的过滤,直接将数据拼接进SQL语句。再一个,Request类的filterValue方法漏过滤NOTLIKE关键字,最终导致SQL注入漏洞的产生。漏洞影响版本:ThinkPHP=5.0.10。漏洞环境通过以下命令获......
  • ThinkPHP5漏洞分析之SQL注入5
    漏洞概要本次漏洞存在于Builder类的parseOrder方法中。由于程序没有对数据进行很好的过滤,直接将数据拼接进SQL语句,最终导致SQL注入漏洞的产生。漏洞影响版本:5.1.16<=ThinkPHP5<=5.1.22。漏洞环境通过以下命令获取测试环境代码:composercreate-project--prefer-dist......
  • ThinkPHP5漏洞分析之SQL注入6
    漏洞概要本次漏洞存在于所有Mysql聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进SQL语句,最终导致SQL注入漏洞的产生。漏洞影响版本:5.0.0<=ThinkPHP<=5.0.21、5.1.3<=ThinkPHP5<=5.1.25。不同版本payload需稍作调整:5.0.0~5.0.21、5.1.3~5.1.......
  • 嵌入式开发SQLite 快速掌握
    SQLite是什么SQLite又称(RDBMS)它是本地数据库,可以用在手机,嵌入式设备的精简数据库和大名的mysql一样的数据库存,只是可以理解为它是精简版,事务处理、表连接、索引、触发器等都支持,只是在有些操作时考虑宿主机内存,(在某些地方对某多功能没有这么强,比如更新时对字段结构批量操作会不......
  • MySQL的函数
    MySQL的函数概述:在MySQL中,为了提高代码重用性和隐藏实现细节,MySQL提供了很多函数函数可以理解为别人封装好的模板代码(相当于java中的方法)在MySQL中,函数非常多,主要可以分为以下几类聚合函数数学函数字符串函数日期函数控制流函数窗口函数聚合函数——group_concat()概述:在MySQL中,聚......
  • 01MySQL
    数据演变史#1.单独的文本文件没有固定的存放位置:C:\a.txtD:\aaa\c.txtF:\bbb\b.txt没有固定的数据格式:jason|123tony$123kevin~123'''程序彼此无法兼容没有统一的标准'''#2.软件开发目录规范按照文件功能的不同规定了相应的位置'''文件查找变得统一......
  • Entity FrameworkCore(EFCore)使用SqlServer、Mysql和Sqlite
    EntityFrameworkCore(EFCore)使用SqlServer、Mysql和Sqlite使用工厂方法模式创建抽象工厂类{publicDbSet<Blog>Blogs{get;set;}publicDbSet<Post>Posts{get;set;}}```......
  • MySQL 数据库查询与数据操作:使用 ORDER BY 排序和 DELETE 删除记录
    使用ORDERBY进行排序使用ORDERBY语句按升序或降序对结果进行排序。ORDERBY关键字默认按升序排序。要按降序排序结果,使用DESC关键字。示例按名称按字母顺序排序结果:importmysql.connectormydb=mysql.connector.connect(host="localhost",user="yourusernam......
  • MySQL 数据库查询与数据操作:使用 ORDER BY 排序和 DELETE 删除记录
    使用ORDERBY进行排序使用ORDERBY语句按升序或降序对结果进行排序。ORDERBY关键字默认按升序排序。要按降序排序结果,使用DESC关键字。示例按名称按字母顺序排序结果:importmysql.connectormydb=mysql.connector.connect(host="localhost",user="youruserna......