0x00 说说说说说说说说说说说明

filterExp函数thinkphp5框架核心的安全过滤函数,他被配置与input函数一起使用, 他的前生是I函数,thinkphp5重写了数据库操作类方法,filterExp函数没有及时更正更新导致sql注入。

0x01漏洞利用

凌晨5点了,差不多猝死了,原理什么的就放在最后面了,直接来看如何利用把。QAQ

1,首先先看一波 input函数 了解这个东西何物先



漏洞场景方法1:




漏洞场景方法2:





0x02漏洞分析

上面我们展示了无聊的漏洞利用方法,这里我们对这个漏洞进行分析

那就看一下 select方法是如何定义的

文件:thinkphp\library\think\db\Builder.php

方法:select()





这里来看看TP系统核心安全函数之一 input函数,他可以帮助我们获取各种变量与自动过滤的功能等。

文件: thinkphp\library\think\Request.php

方法: input()



从这个函数来说,我们一般情况下就算可以控制传入的变量,也会因为多个空格导致匹配不上,但是这里因为TP5重写了数据库操作的方法,忽略了一些东西,所以导致我们可以投机取巧的绕过他。如下图

这个是TP5 支持的表达式,在看看input会进行过滤的表达式

通过对比是否就有一个比较清楚的概念了?没错TP5 新添加了一个表达式 not like 但是在 filterExp中又没有进行过滤,最终导致了可注入。

修复方法:

打开文件:\thinkphp\library\think\Request.php

打开方法:filterExp();

添加正则:/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i

222

点击收藏 | 0 关注 | 1
登录 后跟帖