sqlthinkPHP_2">sql注入实战——thinkPHP
thinkPHP前期环境搭建
下载thinkPHP文件
解压,将framework关键文件放到think-5.0.15中,改名为thinkphp
再将think-5.0.15放到WWW文件夹中
输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件
搭建完成
创建数据库
修改数据库连接文件 \phpstudy_pro\WWW\think-5.0.15\application\database.php
编写控制器——编写一个get传参,传参uesrname,默认值为a
将上面get传参获得的username插入到数据库users里面
db('users')->insert(['username' => $username]);
开始寻找漏洞点
输入SQL注入语句
sql">http://localhost/think-5.0.15/public/index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1
注入成功
漏洞分析
官方发布的5.0.16版本更新说明中,发现其中提到了该版本修复了一个漏洞
查阅commit记录,发现其修改的Builder.php文件代码比较可疑 从官网的更新日记中可以看到(绿色为新添加补丁)漏洞大概率出于此处
接着我们直接跟着上面的攻击payload看看漏洞原理。首先payload数据经过thinkphp内置方法的过滤后直接进入了$thik->builder的insert方法,所以从insert函数开始
断点下到insert语句,可以看到username传参1个数组,分别是我们输入的三个变量
- username[0]=inc
- username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)
- username[2]=1
之后走到db类中的insert方法
这是数据库的连接,跳出,来到insert函数
此处的$data中一个数组,三个变量即
- username[0]=inc
- username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)
- username[2]=1
来到sql语句,传递data,options,replace三个传参
data:一个数组三个变量,同上
options:表名table=“users”
进入builder的insert方法中
而 Mysql类继承于 Buider 类,即上面的this->builder->insert()最终调用的是 Builder 类的 insert方法。在 insert 方法中,我们看到其调用 parseData方法来分析并处理数据,而 parseData方法直接将来自用户的数据val[1]进行了拼接返回。我们的恶意数据存储在val[1]中,虽经过了 parseKey 方法处理,当丝毫不受影响,因为该方法只是用来解析处理数据的,并不是清洗数据。
进入parseData
data = [username=array(3)]
key = “username”
val = array(3)=
- array(0)=“inc”
- array(1)=“updatexml(1,concat(0x7e,user(),0x7e),1)”
- array(2)=“1”
往下滑,找到补丁处
从上面可以看到直接将用户数据进行拼接,然后再回到Builder类的insert方法,直接通过替换字符串的方式,将data填充到sql语句中,造成sql注入漏洞
break跳出,得到result
退出insert函数
keys和values的处理
最后进行sql的拼接,其中values等于我们的报错注入语句,所以漏洞出现,完成sql注入
实验错误
找不到用户
原因:新建的数据库内没有创建表和用户
创建表users,里面有两列username和password
查看表格和内部结构
向表内插入用户
查看表内用户数据
创建用户成功
成功报错
