Thinkphp 3.2.3 where注入 select/delete

     public function test01()
    {
        $data = M('user')->find(I('GET.id'));
        var_dump($data);
    }

payload：http://tp32.com/index.php/home/index/test01?id[where]=1 and 1=updatexml(1,concat(0x7e,database(),0x7e),1)

漏洞分析：

首先在如下地方进行下断点分析

一开始肯定是触发自动加载机制，实例化一个数据库操作对象

返回接着进入到 I 方法中对接收的参数进行分割判断

然后 I 方法中进行一次 htmlspecialchars 和 think_filter 的过滤处理

随后从I方法中出来之后就进入到了 find 方法中

接着来到进入 _parseOptions 方法中，来进行字段的验证的处理

主要是这段代码，当我们id[where]是这样的时候，这段代码是不走的，因为is_array($options['where'])这个条件不满足

出来了之后接着继续走select 方法

之后的都很正常数据也没被处理，最后导致了SQL注入

那么最主要的原因其实也就是 _parseOptions 方法中字段类型验证，如果is_array($options['where'])这个条件满足，那么我们注入的SQL语句都会被_parseType 进行强转，如果是id[where]则导致不满足，从而产生了SQL注入!

那么我们来跟下如果传入的url是http://tp32.com/index.php/home/index/test01?id=1 and 1=updatexml(1,concat(0x7e,database(),0x7e),1)，结果会如何

首先这里会让$options[where]下面成为一个数组

然后继续进入到 _parseOptions 方法中

此时该条件满足所以进入到字段类型验证的操作

接着继续进入到 _parseType 的方法中该id字段下的内容，就是sql注入的内容就会被强转为 int 类型导致最后无法触发！！！

修复代码:

v3.2.4 将 $options 和 $this->options 进行了区分，从而传入的参数无法污染到 $this->options，也就无法控制sql语句了

posted @ 2020-03-23 13:12 zpchcbd 阅读(2184) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)