thinkphp5之sql注入漏洞-builder处漏洞

目录

适用版本

环境搭建

文件下载安装

配置文件修改

漏洞分析


适用版本

注:thinkphp版本:5.0.13<=ThinkPHP<=5.0.155.1.0<=ThinkPHP<=5.1.5

环境搭建

文件下载安装

在github上面下载相应版本,下载think文件,下载framework文件,然后将framework文件修改名字为thinkphp,然后将修改后的framework放在think文件下,然后将think放在网站目录下

配置文件修改

修改数据库连接文件,这里需要提前创建一个数据库文件

修改你的控制器

复制代码
$username = request()->get('username/a');

这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a

复制代码
  db('users')->insert(['username'=>$username]);

这里就是将你输入的值传道数据库里

漏洞分析

漏洞我们可以在framework中的5.0.16版本去看,因为后面的版本肯定是把前面的版本bug修复了。所以可以从里面看到bug是什么样子,看一下5.0.16官方更新了什么东西,到底是把什么修复了。

来看一下啊它的更新提交,然后看看有啥子漏洞

在builder中会有一个修改的地方

下面我们来追一下这个代码,首先输入注入语句

复制代码
http://127.0.0.1:9999/thinkphp/think-5.0.15/public/index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

这个需要开启调试模式,注入成功,将user回显了过来

在这里下断,看他一步步执行步骤

首先username的值为0="inc",1="updatexml(1,concat(0x7,user(),0x7e),1)",2="1"

将断点打在插入语句

看一下他的insert这个函数,数据传输是自己写的值

然后下一步追到builder上,即上面的 $this->builder->insert() 最终调用的是 Builder 类的 insert 方法。 然后调用 parseData 方法来分析并处理数据

然后咱来看一下parseData的方法,下图代码

这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用

然后经过parseData处理的数据返回到Builder中的insert,然后下面的sql中的str_replace中的第一个数组被第二个数组中的值进行替换

上图代码中第二个数组的意思

php 复制代码
$sql = str_replace(
    ['%INSERT%', '%TABLE%', '%FIELD%', '%DATA%', '%COMMENT%'],
    [
        $replace ? 'REPLACE' : 'INSERT',
        $this->parseTable($options['table'], $options),
        implode(' , ', $fields),
        implode(' , ', $values),
        $this->parseComment($options['comment']),
    ], $this->insertSql);
php 复制代码
$replace ? 'REPLACE' : 'INSERT'

replace有值就是INSERT没值就默认是REPLACE

php 复制代码
 $this->parseTable($options['table'], $options)

option中table是users

php 复制代码
implode(' , ', $fields)
implode(' , ', $values)

将数组转换为字符串,fileds是username、values就是你写的报错语句

php 复制代码
  $this->parseComment($options['comment'])

数据库建表的时候允许你建一个注释comment就是这个注释,这个注释没有的话就为空然后就插入到数据库中,引起报错注入

回来以后数组的值经过替换后变成如下代码

相关推荐
Clair-Sean6 分钟前
【JavaSE】多线程基础学习笔记
笔记·python·学习
moxiaoran575332 分钟前
uni-app学习笔记三十四--刷新和回到顶部的实现
笔记·学习·uni-app
不做无法实现的梦~1 小时前
rm视觉学习1-自瞄部分
学习
luopeng2076634361 小时前
虚拟局域网中配置某台服务器作为网关的方案
运维·服务器·php
꧁坚持很酷꧂2 小时前
FreeRTOS学习02_任务管理
stm32·学习
朱颜辞镜花辞树‎2 小时前
Go爬虫开发学习记录
爬虫·学习·golang
DQI-king3 小时前
ZYNQ学习记录FPGA(二)Verilog语言
学习·fpga开发·zynq
蓝婷儿3 小时前
6个月Python学习计划 Day 18 - 项目实战 · 学生成绩管理系统(OOP版)
开发语言·python·学习
恰薯条的屑海鸥3 小时前
关于我对各开发语言的看法与接下来的文章内容
开发语言·学习·微信小程序·网站开发·全栈开发
哆啦A梦的口袋呀3 小时前
基于Python学习《Head First设计模式》第八章 模板方法模式
python·学习·设计模式