记一次渗透测试中thinkphp3.2.3 update注入

最新推荐文章于 2022-07-11 21:59:56 发布
原创 最新推荐文章于 2022-07-11 21:59:56 发布 · 987 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#渗透测试 #thinkphp #安全漏洞

本文记录了一次针对ThinkPHP3.2.3框架的SQL注入攻击过程,详细介绍了从获取后台登录口令到利用SQL注入漏洞爆出数据库信息的全过程,强调了及时修复漏洞的重要性。

  1. . 背景介绍

    在一次做渗透时,首先从领导那拿到客户需要做测试的后台URL。果然,一如既往的登录页面,但发现没有验证码验证策略,那咱先就抓个包试试登录爆破呗(爆破用Cluster bomb选项,此处不再阐述)。拿到后台口令–admin/admin123 857-857丶我估计以我的运气手动也能测出来,但客户为啥不提前给我呢~~
    后台登录页面

  2. 摸索过程

    使用Google的附件Wappalyzer查到用户使用的是thinkphp3框架。thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。(老哥总结的非常nice~)
    话不多说,得到登录口令,先到后台转转——
    后台管理页面

在个人设置,后台管理员修改密码的地方抓个包丶
抓包
把数据包发送到Repeater利用老哥总结出的thinkphp3.2.3的PoC替换下面的post data,重发试一下丶
利用PoC验证
爆出当前用户root,继续利用此漏洞,可以使用SQL查询语句继续爆出所有数据库,所有表及所有字段等等丶
爆库、表、字段
OK,thinkphp3.2.3 update注入到这一步验证就done了。作为一个有责任感且技术不怎么样的小菜鸡,这个漏洞就不在此处继续记录了,可以收拾收拾整理好漏洞报告给客户,对接客户那边及时升级打补丁修复此漏洞。

  1. End
    个人记录这篇文章,第一是想记录自己的安全职业生涯,第二是想通过自己的小力量提醒大家及时打补丁修复漏洞。现在是互联网大数据时代,网络安全颇为重要。每天都会爆出很多系统、服务、软件等等高危漏洞,希望全国大中小型企业,注重网络安全,共同营造绿色网络环境~~

ps:感谢大佬的文章丶
有关此框架漏洞,原理可参考:
https://blog.youkuaiyun.com/fly_hps/article/details/84994534

ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1692
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 7864
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
think+php+漏洞,ThinkPHP3.2.3漏洞分析
weixin_32824625的博客
03-28 1149
一、前言ThinkPHP的漏洞分析文章有很多,这里我只是想对我学习的过程进行一个录,有点菜,希望大佬不要喷我。二、where注入在控制器中,写个demo,利用字符串方式作为where传参时存在注入public functiongetuser(){$user = M('User')->where('id='.I('id'))->find();dump($user);}在变量user...
渗透测试Update注入学习笔
我的学习笔记
02-28 1574
参考实验:http://www.hetianlab.com/expc.do?ce=572fa9e9-7eb1-4928-bfe3-eaa444eab1e0sqlupdateattack.py #!/usr/bin/python # -*- coding: utf-8 -*- import HTMLParser impo...
ThinkPHP3.2.3 where注入
LiBai'S BLOG
12-04 4767
ThinkPHP3.2.3 where注入断点调试强转类型进入函数 在 D:\phpstudy_pro\WWW\thinkphp3\Application\Home\Controller下的IndexController.class.php添加代码 先用正常id去走一遍流程,然后再使用payload http://127.0.0.1/thinkphp3/index.php/home/index/getuserid?id=1)%20and%20database()=%27thinkphp3%27%20-
php5渗透,ThinkPHP的一些渗透方式
weixin_30396323的博客
03-11 1095
下面由thinkphp框架教程栏目给大家介绍ThinkPHP的一些渗透方式,希望对需要的朋友有所帮助!ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,可以支持Windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展。Runtime日志在ThinkPHP3的版本中,入口文件index.p...
框架、组件漏洞系列5:tthinkPhp漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
01-07 4241
一、ThinkPHP简介 基础介绍: ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。 近期发布历史: 2015年12月11日,ThinkPHP 5.0 Beta 发布; 2017年02.
Think PHP3.2.3 update(blind)注入
D.MIND 的博客
04-14 466
前言: 第一次尝试TP框架的代码审计,搭环境的过程有点坎坷…但勉勉强强还是完成了。原本以为审计起来不会太吃力,审计完才发现自己对工业化的代码框架认知程度远远不够,所以整个过程都比较艰辛,整理出来的东西还是不够清晰明了,下次再接再厉。坚持下去,死磕吧。┭┮﹏┭┮ Think PHP3.2.3 update(blind)注入 漏洞简述 尽管ThinkPHP 3.2.x使用了 I 方法来过滤参数,但是还是过滤不严谨,导致SQL注入发生。 ThinkPHP 3.2.3 目录结构 下载框架后,解压缩到web目录下面
从外网Thinkphp3日志泄露到杀入内网域控 - 红队攻击之域内靶机渗透实战演练
qq_50854662的博客
10-05 409
1.简要描述 这个工具写完有一段时间了,看网上目前还没有一个thinkphp的漏洞集成检测工具,所以打算开源出来。 2.代码结构 插件化思想,所有的检测插件都plugins目录里,TPscan.py主文件负责集中调度。 插件目录: ThinkPHP 用户模块checkcode SQL注入漏洞 ThinkPHP 5.0.23远程代码执行 ThinkPHP 5.0.23 Debug模式远程代码执行 ThinkPHP 5.X PDO开启状态下SQL注入漏洞 ThinkPHP 5.1.x 远程命令执行漏.
thinkphp3.2.3后台登录
04-23
采用thinkphp3.2.3实现的后台登录功能,适合新手学习,大牛就不要下了
thinkphp3thinkphp5 日志信息泄露检测脚本.zip
02-20
thinkphp3thinkphp5 日志信息泄露检测脚本,亲测有效可用,如有侵权,请联系优快云管理员删除即可
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9855
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
ThinkPHP 3.2.3 简单后台模块开发(一)常用配置
weixin_34240657的博客
01-14 450
 一、项目分组 下载解压 ThinkPHP 3.2.3,在默认的应用 Application(./Application) 中,包含一个默认的模块 Home(./Application/Home)。 需要在该默认应用中创建一个用于后台管理的 Admin 模块,可以通过在应用入口文件(./index.php)中绑定 Admin 模块来 自动生成 Admin 模块: define('BIND...
ThinkPHP框架-3
weixin_45730243的博客
11-20 1650
十九、修改操作 (手册–模型–更新)(CURD create update read delete) 1、更新一条数据
ThinkPHP实战02——《ThinkPHP3.2.3 实战个人博客》笔——引入ThinkPHP
tongbiaos的博客
08-20 5548
课程来源:《ThinkPHP3.2.3 实战个人博客视频第一季》 1.ThinkPHP文件目录 到ThinkPHP官网上下载的thinkphp_3.2.3_full.zip,其目录结构如下:     2.引入ThinkPHP (1)将ThinkPHP文件夹复制到网站根目录下,在网站根目录创建一个项目文件夹article。   (2)我们这里使用subline text作为我们的
ThinkPhp3.2】关于update指定了条件,但是进行了全表更新
咔咔博客
08-26 1869
案例:将时间过期的状态码给为3 解析上边案例 这条语句是在tp5特别常用的语句 data=D(′goodscoupon′)−&gt;where(′id′,data = D(&#x27;goodscoupon&#x27;)-&gt;where(&#x27;id&#x27;,data=D(′goodscoupon′)−>where(′id′,v...
Thinkphp 3.2.3 sql注入漏洞
giaogiao123的博客
08-27 1545
源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 创建一个test数据库 然后开启mysql命令行 CREATE TABLE `Course`( `id` VARCHAR(20), `username` VARCHAR
thinkphp3.2 update注入
qq_42307546的博客
07-11 542
php
下列哪些是Thinkphp-3.x存在的漏洞 A:Thinkphp 3.2.3缓存漏洞 B:Thinkphp 3.2.3sql注入漏洞 C:Thinkphp 3.2.3 update注入漏洞 D:Thinkphp 3.2.3 select & find & delete 注入漏洞
最新发布
03-26
<think>好的,我现在需要回答用户关于ThinkPHP 3.x版本存在的具体安全漏洞的问题。用户明确提到希望了解包括缓存漏洞、SQL注入漏洞、update注入漏洞以及select/find/delete注入漏洞的列表。我需要根据提供的四个引用资料来整理这些信息,并确保回答符合系统级指令的要求,比如正确使用LaTeX格式和引用标识。 首先,我需要逐一检查每个引用,提取与ThinkPHP 3.x相关的漏洞信息。引用[1]提到了ThinkPHP的历史漏洞,包括2.x的任意代码执行漏洞,但3.x的信息可能较少。引用[2]列出了多个ThinkPHP的历史漏洞,其中有几个明确提到3.x版本,比如ThinkPHP3.2.3的缓存函数设计缺陷导致Getshell,以及3.2.X的find、select、delete注入漏洞,还有3.X的order_by注入漏洞。引用[3]详细讨论了find、select、delete注入漏洞的分析,指出其流程与之前的漏洞类似。引用[4]也提到了3.x和5.x系列的漏洞,但没有具体信息。 接下来,我需要将这些信息分类整理。缓存漏洞方面,引用[2]提到ThinkPHP3.2.3的缓存函数设计缺陷可导致Getshell。SQL注入漏洞包括update注入、select/find/delete注入以及order_by注入。其中,update注入漏洞在引用[2]和[4]中都有涉及,而select/find/delete注入在引用[2]、[3]、[4]中都被提到。order_by注入属于3.X版本的问题,同样来自引用[2]。 需要确保每个漏洞都有对应的引用标识,例如缓存漏洞引用[^2],SQL注入中的update注入引用[^2][^4],select/find/delete注入引用[^2][^3],order_by注入引用。同时,注意用户的问题是否还有其他漏洞类型,但根据现有资料,似乎已覆盖用户提到的所有类型。 最后,生成相关问题时要围绕ThinkPHP 3.x的漏洞分析、修复建议、实际案例以及与其他版本的对比。需要确保问题合理且有依据,比如如何分析某个漏洞,如何修复,实际攻击案例,以及与其他版本的差异。 现在,按照系统指令组织答案结构,使用中文,正确应用LaTeX格式,并添加引用标识。确保回答清晰,分点列出每个漏洞类型,并在最后生成相关问题。</think>### ThinkPHP 3.x 版本安全漏洞列表 #### 1. **缓存函数设计缺陷导致Getshell** - **描述**:ThinkPHP3.2.3版本中,缓存函数因未对用户输入进行严格过滤,攻击者可构造恶意参数写入Webshell文件,从而控制服务器。 - **示例代码片段**: ```php // 漏洞触发点示例(假设输入可控) $cache->set($key, $value); ``` #### 2. **SQL注入漏洞** - **Update注入** 通过`update`方法的参数过滤不严,攻击者可在更新操作中注入恶意SQL语句。例如: ```php $User->where(&#39;id=1&#39;)->update($_POST); ``` 若`$_POST`包含SQL语句片段,可导致数据库篡改[^2]。 - **Select/Find/Delete注入** 在`find`、`select`、`delete`方法中,若未对`where`条件参数过滤,攻击者可利用数组或字符串拼接注入: ```php $User->where($map)->find(); ``` 若`$map`包含恶意表达式(如`[&#39;id&#39; => [&#39;exp&#39;, &#39;1 OR SLEEP(5)&#39;]]`),可触发延时注入[^3]。 - **Order By注入** 使用`order`方法时,未对排序字段进行校验,攻击者可通过注入控制排序逻辑: ```php $User->order($input)->select(); ``` 若`$input`包含`IF(1,SLEEP(5),id)`,可导致盲注攻击。 #### 3. **未开启强制路由的RCE风险** - **描述**:部分3.x版本未强制路由,攻击者可通过构造特定URL调用未授权控制器方法,结合反序列化等漏洞实现远程代码执行[^1]。 --- ### 漏洞修复建议 1. **升级框架版本**:官方已发布补丁,建议升级至安全版本。 2. **输入过滤**:对所有用户输入使用`I`函数过滤(如`I(&#39;post.id&#39;)`)。 3. **禁用危险配置**:关闭调试模式,避免暴露敏感信息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值