- 1docker(容器)——跨主机网络访问(不同宿主机上的容器之间的通信)_不同主机容器之间通信 路由
- 2Android安卓进阶技巧之Kotlin结合Jetpack构建MVVM_kotlin jetpack mvvm
- 3产品读书《AI人工智能:发展简史+技术案例+商业应用》_知乎 ai产品经理相关书籍推荐
- 4开源免费CasaOS:轻松打造高效便捷的家庭云生活新体验_rk3218 安装casaos
- 5Android 系统属性(SystemProperties)介绍
- 6数据仓库之拉链表设计与实现_通过hdl生成拉链表
- 7Android如何动态改变桌面图标和label_android改变lable的内容
- 8YOLO系列(v1~v3)的学习及YOLO-Fastest在海思平台的部署(上)_yolov3需要的算力
- 9Docker 系列2【docker安装mysql】【开启远程连接】
- 10Android移动开发基础案例教程第2版课后题答案_android移动开发基础案例教程第二版答案
(超级有用)ThinkPHP 5漏洞分析之SQL注入_thinkphp v5.1.39漏洞
赞
踩
本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。
环境搭建
$ composer create-project --prefer-dist topthink/think=5.0.15 v5.0.15
安装后,因为默认 framework 版本为 5.0.24 ,所以将 composer.json 文件的 require 字段设置成如下:
- "require": {
- "php": ">=5.4.0",
- "topthink/framework": "5.0.15"
- }
然后执行 composer update 将 framework 版本更新至 5.0.15 。进入 /application/index/controller/Index.php 修改代码如下:
- <?php
- namespace app\index\controller;
-
- class Index
- {
- public function index()
- {
- $username = request()->get('username/a');
- db('users')->insert(['username' => $username]);
- return 'Update success';
- }
- }
接着本地创建数据库:
- create database tpdemo;
- use tpdemo;
- create table users(
- id int primary key auto_increment,
- username varchar(50) not null
- );
进入 /application/database.php 配置本地数据库后,在 /application/config.php 中开启 app_debug 和 app_trace
- // 应用调试模式
- 'app_debug' => true,
- // 应用Trace
- 'app_trace' => true,
漏洞复现
http://127.0.0.1:8000/?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1
- 1.
漏洞分析
首先跟进第一句: $username = request()->get(‘username/a’);
通过 Request::get 方法获取 GET 传入的数据,然后调用 Request::input 方法获取 $data 数据,其中通过 array_walk_recursive 对 $data 数组中的每一个元素,都调用了 Request::filterValue 方法进行 过滤处理
当检测到字段中有如下关键字时,将会在字段末尾增加一个空格:
EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN
而我们 payload 显然是不含有这些关键字的,所以这些过滤处理并没有造成影响
接着跟进第二句,也就是数据库操作语句www.meimeitu8.com: db(‘users’)->insert([‘username’ => $username]);
首先通过 helper.php 调用 Db::connect 方法。该方法中调用 self::prarseConfig 获取数据库配置信息参数 $options 后,接着实例化 \think\db\connector\Mysql 类并返回该类的实例化对象 self::$instance[$name]
接着 helper.php 中调用 Mysql::name($name) 方法,传入的参数 $name 为表名 users
因为 Mysql 类中没有 name 方法,所以调用了其父类 \think\db\Connection 类的 __call 魔术方法, __call 方法通过 getQuery 方法返回 \think\db\Query 类对象,再通过 call_user_func_array 调用 Query::name 方法。 Query::name 方法返回一个 Query 类对象
以上是 db(‘users’) 部分处理,即初始化数据库配置信息www.rsxedu.com。返回 \think\db\Query 对象。接着执行 db(‘users’)->insert([‘username’ => $username]); 。即调用 Query::insert 方法
Query::insert方法中,通过 parseExpress 方法获取配置信息后,再调用 $this->builder->insert 方法来生成 $sql 语句,此处 $this->builder 为 \think\db\builder\Mysql 类对象。最后再调用 execute 来执行生成的sql语句
所以我们最后跟进 $this->builder->insert 方法,来看看是如何生成sql语句的
因为 Mysql 类继承于 Builder 类,所以最终是调用 Builder::insert 方法。该方法首先调用 parseData 方法来处理我们传入的数据,进入 switch 语句的判断,当 $val[0] 为 inc 时,调用 parseKey 方法对 $val[1] 参数,即我们的 注入payload 的存储位置进行处理,而跟进 parseKey 方法。会发现该方法只是用来解析数据,并没有对数据进行 过滤检测处理 。所以直接返回了原本的 $val[1] 然后拼接上 ‘+’ . floatval($val[2]) 。组成了参数 $result 返回给 insert 方法中的 $data 。之后就是生成 insert 语句: INSERT INTO `users` (`username`) VALUES (updatexml(1,concat(0x7e,user(),0x7e),1)+0) 。最后执行触发 报错注入 。
