ThinkPHP 之 SQLI审计分析(二)

news2024/11/26 16:32:03

说明

该文章来源于同事lu2ker转载至此处,更多文章可参考:https://github.com/lu2ker/

文章目录

  • 说明
      • 0x00 测试代码做了什么?
      • 0x01 分析调用
      • 0x02 漏洞点的发现、构造、利用
      • 0x03 总结

Time:9-3

影响版本:ThinkPHP=5.0.10

Payload:

/public/index.php/index/index?username[0]=not like&username[1][0]=&username[1][1]=&username[2]=) union select 1,user()--+

这是一篇由已知漏洞寻找利用过程的文章,跟着**参考链接学习分析,这次重点关注可控参数的处理、传递**,所以废话较多。以下是收获记录。


0x00 测试代码做了什么?

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username/a');
        $result = db('users')->where(['username' => $username])->select();
        var_dump($result);
    }
}

//分析时用的paylaod:/public/index.php/index/index?username[0]=1&username[1]=2

与上次不同,这次是先调用where方法处理$username再调用select方法进行查询,即程序构造的SQL语句应该是select * from users where 可控数据

0x01 分析调用

①按照调用顺序先来分析一下where方法:

thinkphp/library/think/db/Query.php

在这里插入图片描述

937行的函数返回一个包含函数参数列表的数组,938行的函数将数组开头的单元移出数组,这里调用where的时候没有指定$op$condition,且这两个参数默认为null,所以这两行处理完之后$param就是个空数组了。

939行调用了parseWhereExp方法且没有返回值,是直接通过$this指针调用本类方法,且这段函数最后也是返回了$this指针,所以要着重分析parseWhereExp方法,其中$field参数是可控的['username'=>$username]

跟进parseWhereExp方法,注意到其中1168行是即将要进入的分支代码。

在这里插入图片描述

着重看一下该分支的代码:

在这里插入图片描述

$field赋值到$where,下面有段判断 w h e r e 是否为空的分支待会儿看,这里就是简单的给 ‘ where是否为空的分支待会儿看,这里就是简单的给` where是否为空的分支待会儿看,这里就是简单的给this->options`赋一些值。下面的一些elseif都不会进去就不用看了,来到1200行的if:

在这里插入图片描述

依然是简单的给$this->options加元素、赋值,这里之后where就结束了,且 t h i s − > o p t i o n s 中有我们可控的值,主要关注 ‘ this->options中有我们可控的值,主要关注` this>options中有我们可控的值,主要关注this->options[‘where’][‘AND’]的值,就是最开始的 $username`。

②接下来再分析一下select方法:

因为where方法返回的是$this,再调用的select方法也是Query这个类的,来到2277行,这里将部分代码折叠起来了,因为只需要看看判断条件就知道会执行哪段代码。

在这里插入图片描述

看到2306行,注释是生成SQL语句,且和上次审计一样都是调用的builder的方法,有了经验这里就自然而然知道代码在Builder.php,不过这次重点关注传参,$options 源于2286行,那么先去看看parseExpress这个函数。

在这里插入图片描述

在这里插入图片描述

先看返回值能知道这个函数是对$options做了一些处理,而$options源于2701行$this->options,再看2708行if块,也不会进入。纵观整个函数的作用差不多就是把一些数据库的操作关键字加入到$options数组中,应该之后有可能用。此时,返回的 o p t i o n s 中 ‘ options中` optionsoptions[‘where’][‘AND’]的值依然没有变化。返回继续看select方法(往上数第三个图),进入**2306行** t h i s − > b u i l d e r − > s e l e c t ( this->builder->select( this>builder>select(options)`

thinkphp/library/think/db/Builder.php

在这里插入图片描述

因为关注的变量一直是$options['where'],遂跟进parseWhere

在这里插入图片描述

225行if的条件同样不满足(在它上一行下个断点看一下当时$options的值就知道了),执行224行完就会return WHERE $whereStr。时刻关注参数,此时的$where就是$options['where'],即我们可控。进入buileWhere

来到243行,大致扫一下该函数能看到多处拼接,说明越来越接近漏洞点。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

253行初始化$whereStr开始看起,255行拆分$where,其中$key应该是AND,而$val则是$username,然后257行再次将$val拆分成$field$value$field应该是['username' => $username]中的'username'也就是users表的字段名,$value则就是$username即测试代码中$username = request()->get('username/a');的这个,即可控值,所以接下来重点关注$value的处理。

258和266行的判断暂时均不满足,就先直接看282的最后一个else分支,其调用了parseWhereItem,并传入了我们关心的$value,赋值给$str[],且$str289行会拼接到$whereStr之后直接return,跟进它一探究竟。

0x02 漏洞点的发现、构造、利用

依然是thinkphp/library/think/db/Builder.php

在这里插入图片描述

305行list()$val分割,list()的作用是把数组中的值赋给一组变量,那么按照第一步中的测试payload

/public/index.php/index/index?username[0]=1&username[1]=2

e x p 的值为 1 , exp的值为1, exp的值为1value的值为2,先暂且往下看,308行if肯定不会进去了,来到324行

在这里插入图片描述

这里需要知道一下$this->exp的值,在该文件的25行有定义

protected $exp = ['eq' => '=', 'neq' => '<>', 'gt' => '>', 'egt' => '>=', 'lt' => '<', 'elt' => '<=', 'notlike' => 'NOT LIKE', 'not like' => 'NOT LIKE', 'like' => 'LIKE', 'in' => 'IN', 'exp' => 'EXP', 'notin' => 'NOT IN', 'not in' => 'NOT IN', 'between' => 'BETWEEN', 'not between' => 'NOT BETWEEN', 'notbetween' => 'NOT BETWEEN', 'exists' => 'EXISTS', 'notexists' => 'NOT EXISTS', 'not exists' => 'NOT EXISTS', 'null' => 'NULL', 'notnull' => 'NOT NULL', 'not null' => 'NOT NULL', '> time' => '> TIME', '< time' => '< TIME', '>= time' => '>= TIME', '<= time' => '<= TIME', 'between time' => 'BETWEEN TIME', 'not between time' => 'NOT BETWEEN TIME', 'notbetween time' => 'NOT BETWEEN TIME'];

这样的话应该是程序允许SQL语句中可存在的逻辑关键字,类似于白名单这种。根据if块的逻辑,这里我们应该让$exp的值是在白名单中存在的,不然就直接抛出错误了。可以暂时更改一下测试paylaod,构造username[0]=白名单中的键名绕过这段代码。

/public/index.php/index/index?username[0]=eq&username[1]=2

再往下看:

在这里插入图片描述

这里is_scalar()函数不知道什么意思,查手册得知

在这里插入图片描述

说明此时的payload是会进入这个分支进行处理的,下断点看看最后会处理成什么样子:
在这里插入图片描述

可以看到,$value的值已经没有payload中的’2’了,意味着可控的值会被这段代码覆盖替换掉。为了保留可控值,这段代码也不能进入,所以$value不能是intfloatstringbool等类型,而只能是arrayobjectresource等类型,所以再次修改payload,让$value成为一个数组型变量:

/public/index.php/index/index?username[0]=eq&username[1][0]=2

再次下断点执行可以看到已经绕过了这段代码的处理,直接来到349行,(注意357行)。

在这里插入图片描述

因为之前的$exp传入的是eq也就是“=”,所以会进入350的if,依然是在它处理后的位置下断点看看会把可控值处理成什么样子,这里直接在350行处下断点。

在这里插入图片描述

可以看到要经过parseValue的处理后才会给$whereStr赋值,步进,return处下断点:

在这里插入图片描述

这里看到值还是存在的,但是再一次步进就会跳到错误处理程序,大佬的文章并没有分析这里的流程,不过我猜估计是数组的问题导致拼接时候的错误。总之这段代码也是不能进去的,再次修改paylaod:

/public/index.php/index/index?username[0]=not like&username[1][0]=2

(修改为not like是因为之后的357行有这个判断)

在这里插入图片描述

这段代码与刚刚的第一个if不同的是会把$valueforeach一下再带入parseValue,这样就不会有数组变量直接拼接的错误了,同事,注意到363行会用到 v a l [ 2 ] ,根据之前的分析 val[2],根据之前的分析 val[2],根据之前的分析val就是传入的 u s e r n a m e ,所以这里 p a y l o a d 还得加一个参数 username,所以这里payload还得加一个参数 username,所以这里payload还得加一个参数username[2]

/public/index.php/index/index?username[0]=not like&username[1][0]=2&username[2]=1

然后得到$whereStr,下断点看看这里$whereStr变成什么样儿了:

在这里插入图片描述

可以看到’2’已经完美拼接进去。尝试闭合括号,注释掉后面多余的字符,构造payload:

/public/index.php/index/index?username[0]=not like&username[1][0]=) union select 1,user()--+&username[2]=1

在这里插入图片描述

可以看到没有过滤的直接拼接自定义SQL语句,但是放行后页面回显的却是empty,意思是查询没结果。先完整走一遍代码看看最后生成的SQL是什么样子。在thinkphp/library/think/db/Query.php2308行下断点:

在这里插入图片描述

可以看到这里的单引号没有闭合导致user()没有当作函数执行,尝试加单引号闭合果不其然被转义了:
在这里插入图片描述

这样的话就得找到一种能够利用程序本身闭合单引号的办法,好好分析:

在这里插入图片描述

361行

$array[] = $key . ' ' . $exp . ' ' . $this->parseValue($item, $field);

可以写成

$array[] = 'username not like ' . $this->parseValue($item, $field);

且$value有几个元素就生成几个这样的字符串。

突然发现363行的$logic=1刚才并没有被拼接到字符串中

在这里插入图片描述

这就比较奇怪了,好好看一看implode的用法:

在这里插入图片描述

看phpstorm的提示好像要求' ' . strtoupper($logic) . ' '这是个array???

不过既然第一个参数可以为数组,那就先给 a r r a y 再加一个元素,也就是再加一个 ‘ array再加一个元素,也就是再加一个` array再加一个元素,也就是再加一个username[1][1]`:

/public/index.php/index/index?username[0]=not like&username[1][0]=) union select 1,user()--+&username[1][1]=1&username[2]=2

在这里插入图片描述

可以看到,'2'也就是username[2]分割了array[0]和array[1],且array的元素都是会被单引号包裹起来的,所以攻击函数就不能放在array里,那么可以尝试一下,用union select 1,user()--+作为分割符 $logic,也就是将username[2]=union select 1,user()--+:

/public/index.php/index/index?username[0]=not like&username[1][0]=1&username[1][1]=2&username[2]=union select 1,user()--+

在这里插入图片描述

可以看到union select 1,user()--+没有被单引号包裹,再闭合一下括号就完美了:

/public/index.php/index/index?username[0]=not like&username[1][0]=1&username[1][1]=2&username[2]=) union select 1,user()--+

在这里插入图片描述

(username NOT LIKE '1' ) UNION SELECT 1,USER()-- username NOT LIKE '2')

(username NOT LIKE '1' ) UNION SELECT 1,USER()

再看一下最后生成的SQL语句:

SELECT * FROM users WHERE (username NOT LIKE '1' ) UNION SELECT 1,USER()-- username NOT LIKE '2')

完美了,结束。

在这里插入图片描述

0x03 总结

总感觉这个过程还有好多地方疏忽掉了,依然只是由答案推过程的行为。

因为欠缺的经验还是太多,所以文中可能废话也比较多,只是为了让自己更加理清逻辑。

关于not like可用是因为这个版本的tp在过滤的时候漏掉了带空格的not like这个在文中没有详细分析,比较不完美。

感谢七月火大佬的干货文章。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/137229.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

详细介绍chrony服务器

chrony服务器 硬件时间&#xff1a;BIOS里面&#xff1b;关机后依然运行&#xff0c;主板电池为它供电&#xff1b;RTC时钟 系统时间&#xff1a;开机后&#xff0c;软件启动读取硬件时钟&#xff0c;之后独立运行 Chrony 的配置文件是/etc/chrony.conf chronyd服务器端 ch…

【目标检测】Mask rcnn代码实现Pytorch版,适用30系列显卡!(测试版)

目录&#xff1a;Mask rcnn代码实现Pytorch版一、环境二、mmdetection环境搭建三、测试四、结果展示为什么选择使用Pytorch版本&#xff1f;因为本人换电脑了&#xff0c;显卡升级为30系列&#xff0c;而30系列显卡的 CUDA 版本要求是 11.x。一、环境 cudatoolkit …

MYSQL之两阶段提交和组提交(数据一致性)

我们在MySQL 的日志中详细的介绍了undo log、redo log、binlog这三个日志和所用到的一些缓存知识&#xff0c;那么下面我们分析一下更新语句执行过程&#xff0c;它们是怎么变化的呢&#xff1f;下面我们直接给答案吧。假如我们修改一行主键索引&#xff08;id&#xff09;为1的…

电力系统激励型需求响应+自适应多群体优化算法(Python实现)

目录 ​编辑 0 前言 1 激励型DR和价格型DR 2 激励型DR模型 3 Python代码实现 4 自适应多群体优化算法&#xff08;AMPO&#xff09; 5 Python代码实现 0 前言 风、光等清洁能源因具有环保、资源丰富等优点而受到电力行业的重视,电力行业开始大力发展清洁能源发电。同时…

MySQL详解,库和表的基础操作

目录 前言 一、预备知识 1、服务器&#xff0c;数据库&#xff0c;表关系 2、SQL分类 3、连接服务器 二、库的操作 1、创建数据库 2、查看字符集和校验规则 2.1 查看系统默认字符集以及校验规则 2.2 查看数据库支持的字符集和字符集校验规则 3、操纵数据库 3.1查看…

ros tf坐标

参考&#xff1a; 讲解&#xff1a;https://www.bilibili.com/video/BV1zt411G7Vn/?p18&vd_source3a1ad336af3eaae4fcced56c75d309d1ROS程序&#xff1a;https://gitee.com/guyuehome/ros_21_tutorials/tree/master/learning_tfROS2程序&#xff1a;https://gitee.com/gu…

公司企业兔年祝福元旦祝福贺卡邀请函模板!

能群发的贺卡邀请函如何制作&#xff1f;想制作一个专属的祝福贺卡邀请函有什么方法&#xff1f;下面跟着小编的乔拓云工具教程&#xff01;教你如何使用这个工具在线就能轻松搞定设计需求&#xff0c;不仅有海量模板供你使用&#xff0c;还能一键生成链接轻松转发&#xff01;…

利用vue-cli创建vue3工程

需注意&#xff1a;想创建vue3工程&#xff0c;对vue-cli版本有要求&#xff0c;必须确保vue-cli在4.5.0以上 目录 1、查看vue-cli版本 2、创建工程 3、启动 1、查看vue-cli版本 vue --version&#xff08;小写v&#xff09; vue --version或者 vue -V&#xff08;大写v&…

深入分析Java中finalize方法的作用和底层原理

finalize方法是什么 finalize方法是Object的protected方法&#xff0c;Object的子类们可以覆盖该方法以实现资源清理工作&#xff0c;GC在首次回收对象之前调用该方法。 finalize方法与C的析构函数的区别 finalize方法与C中的析构函数不是对应的&#xff0c;C中的析构函数调…

(小程序)后台交互-首页

目录 一、小程序首页动态数据加载 1.数据库准备 2.后台准备 ① pom.xml ② 配置数据源 ③ 整合mybatis ④ 代码生成 ⑤ mybatis-generator 二、准备前端的首页的数据 1、Promise 2.封装request 3.会议展示 三、通过wxs将首页动态数据优化 一、小程序首页动态数据加…

Git命令版(powernode)

Git命令版&#xff08;powernode&#xff09; 目录Git命令版&#xff08;powernode&#xff09;1.添加文件相关命令案例实操小结&#xff1a;2.工作区和暂存区2.1 名词解释。2.1.1 工作区&#xff08;Working Directory&#xff09;2.1.2 版本库&#xff08;Repository&#xf…

数据结构之双向链表

双向链表与单向链表较为类似&#xff0c;单向链表有一个指针域&#xff0c;用来指向后继结点&#xff0c;而双向链表有两个指针域&#xff0c;分别用来指向前驱结点和后继结点。玩双向链表时一定要从单向链表的思维中跳出来&#xff0c;否则在操作双向链表时就会出现各种问题。…

【Python百日进阶-数据分析】Day144 - plotly箱线图:go.box()实例

文章目录4.2 go.Box 箱线图4.2.1 基本箱线图4.2.2 基本水平箱线图4.2.3 显示基础数据的箱线图4.2.4 修改计算四分位数的算法4.2.5 带有预先计算的四分位数的箱线图4.2.6 彩色箱线图4.2.7 箱线图样式均值和标准差4.2.8 造型异常值4.2.9 分组箱线图4.2.10 分组水平箱线图4.2.11 彩…

一起学习用Verilog在FPGA上实现CNN----(四)池化层设计

1 池化层设计 自顶而下分析池化层的设计过程 1.1 Average Pool Multi Layer 图为该项目的平均池化层&#xff0c;其包含一个AvgPoolSingle单元&#xff0c;模块的输入为图像特征矩阵&#xff0c;输出为池化后的特征矩阵 图片来自附带的技术文档《Hardware Documentation》 …

Java开发学习(三十六)----SpringBoot三种配置文件解析

一、 配置文件格式 我们现在启动服务器默认的端口号是 8080&#xff0c;访问路径可以书写为 http://localhost:8080/books/1 在线上环境我们还是希望将端口号改为 80&#xff0c;这样在访问的时候就可以不写端口号了&#xff0c;如下 http://localhost/books/1 而 SpringB…

电脑屏录软件,这3款良心软件,分享给你

现在很多人会使用电脑屏录软件&#xff0c;有些用来记录游戏中的精彩操作&#xff0c;有些用来记录在线教学课程&#xff0c;有些用来记录在线视频会议。现在有各种各样的电脑屏录软件。选择一个好的电脑屏录软件是非常重要的。电脑屏录软件哪个好&#xff1f;下面小编分享3款良…

前端基础(四)_数据类型的强制转换

数据类型的强制转换就是通过js提供的函数进行数据转换。常见的就是将其他类型的数据转换成number类型和string类型。 一、其他类型转 number 类型 1.Number Number 方法将其他类型的数据转换为Number类型&#xff0c;返回一个新的数值&#xff0c;不会改变变量本身。 例1&…

【Linux】Linux编辑器-vim的使用以及指令集

推荐先将vim配置好后再使用会方便一些&#xff0c;就是将Linux下vim打造成C IDE的样子。自动配置vim vim1.vim的基本概念2.vim的基本操作2.1进入vim编辑界面2.2 如何在vim编辑代码2.3 退出vim并保存代码2.4一张图总结基本操作3.vim正常模式命令集3.1 进入插入模式和退出插入模式…

自己电脑中安装黑群辉NAS

前期准备&#xff1a;一个品牌U盘(制作后就是启动盘需一直插电脑上)、一台安装群辉的电脑&#xff08;可以没有硬盘&#xff09;、一台可正常开机的电脑 资源下载&#xff1a; 百度网盘链接&#xff1a;链接: https://pan.baidu.com/s/1t_yVON16Pt8H1ytpvf0J-A?pwdxe7m 提取…

Little Snitch 5 - Mac 老牌防火墙安全工具软件小飞贼,监控和组织特定软件的网络连接

Little Snitch 5 - Mac 老牌防火墙安全工具软件小飞贼&#xff0c;监控和组织特定软件的网络连接 一旦连接到Internet&#xff0c;应用程序就可以随时随地发送它们想要的任何东西。通常情况下&#xff0c;他们是为你做的。但有时&#xff0c;例如在跟踪软件、木马或其他恶意软件…