漏洞深度分析|Thinkphp 多语言 RCE
ThinkPHP是一个快速,简单,定向于PHP对象。它成立于2 006 年初,并根据Apache2 开源协议发布,旨在促进在线开发敏捷应用程序,并简化企业应用程序的开发。
根据FOFA系统的统计数据,过去一年向公众开放了7 3 ,3 02 个相关服务,其中中国的使用率最高,达到4 4 ,7 8 8 ,其次是美国,1 2 ,2 9 5 ,日本,日本和日本的日本,以及中国的特殊地区,与他一起,与他一起,与他一起,与他一起,与他一起获得了第五五分之五。
他的多语言能力。
如果程序启用了多语言功能,则攻击者可以通过GET,标头,Cookie和其他位置传递参数以执行导演 +文件的参与,然后通过PearCMD文件的技术执行远程代码(RCE)。
默认情况下,系统只会加载预定的语言软件包。
如果需要自动检测和自动更改多语言语言,则应在全局中间件定义文件中添加定义。
仅当激活多语言功能并使用有形版本时,才会存在弱点。
受影响的版本包括:v6 .0.1 和v6 .0.1 3 之前的v6 .0.1 ,thinkphpv5 .0.x和v5 .1 .x.重现弱点时,以ThinkPhp6 为例进行分析。
首先,将中断点放置在LoadLangpack.php句柄的功能上,然后从请求中提取多个参数到检测功能。
查看配置,您可以看到它们检测到提取物参数,例如来自不同需求场所的lang。
默认情况下,允许_lang_list配置为空,因此从lang参数获得的变量直接传递到$ this-> string并返回值而无需过滤。
收到lang值后,将调用SwitchLangset函数加载相关语言。
在此功能中,该路径根据$ langet(以应用董事会的交叉点)进行切碎,然后将负载调用到加载。
在加载功能中调用解析以处理切碎的文件。
在解析中,当文件后缀为PHP时,将直接包含它。
因此,攻击者可以通过导演遍历包含任何PHP文件。
该官员已经发布了调整,这种弱点是通过两次参与固定的。
本质上的区别是确定$ langet是否符合条件,否则将获得预定的值。
建议用户在最新版本中更新以调整灵敏度。
参考链接:github.com/top-think/fr github.com/top-think/fr ttttang.com/archive/1 8 6 5 lofsongs.com/penetrate nosec.org/detail/5
thinkphp 3.2.3 exp注入漏洞分析
对ThinkPP3 .2 .3 中对安全性易感性的分析如下:1 漏洞触发 - thinkp3 .2 .3 中的机制,Exp-注射易感性可以由特定的HTTP查询触发,例如。B. http://1 2 7 .0.1 /index.php?该请求中的EXP关键字是直接寻求SQL语句的,这会导致SQL注入。
2 漏洞的分析导致了直接的矛盾:在模型类的选择函数中,$ ex的值直接进入SQL语句中,而无需过滤或逃脱到SQL指令中,从而导致SQL注入。
缺少关键字的过滤:尽管ThinkPCommonFunions.ph中的Think_filter功能。
ph特殊关键字添加了空间以避免拆分SQL字符,但很明显,在此漏洞场景中,这种过滤器机制无法有效防止注入曝光关键字。
3 thinkphps防御机制。
对集成数字字段的防御:在模型类的函数_Parsetype中,对于具有字段类型IT的字段,将手工值转换为整数类型,这可以防止在一定程度上执行注射指令。
角色注入的防御:thinkdbdriver.class.php中的Escapestring功能逃脱了特殊符号以实现防御。
4 其他注入方法结合注射:尽管使用I功能可以防御普通的Exp-注入,但仍然可以实现绑定注入,因为Think_filter函数不会过滤。
TIE注射攻击通过在SQL指令中插入特殊符号来犯规SQL错误,这更复杂,但风险更大。
5 维修策略我使用功能:尝试在应用程序中使用I功能以获取用户输入的参数。
i功能中的think_filter函数处理特殊的关键词并增加了防御级别。
集成安全补丁:删除代码,将安全补丁集成到index.php条目文件中,请确保该应用程序由源执行并降低潜在的注入风险。
Thinkphp框架 < 5.0.16 sql注入漏洞分析
分析ThinkPHP框架SQL注入<5 .0.1 6 的脆弱性如下:背景:在ThinkPHP的框架<5 .0.1 6 版本中,注入弱点弱。检测和修复脆弱性的过程分为Ispring和Autumn论坛以及先知的社区。
脆弱性的生殖力:使用Phystuddy环境来构建Thinkphp的框架。
通过ThinkPHP输入功能获取数据,并使用框架数据库操作的功能。
构建一个特定的负载访问程序,并逐渐跟踪SQL执行的代码的方式。
漏洞的原因:在thinkplibrythinkbquery.php文件中,当可感功能处理输入组时,安全弱点存在。
当组的第一个元素是“ Inc”时,主要函数不会执行足够的安全检查,从而导致可能的SQL注入。
攻击者可以构建该组的特定格式,该格式分为SQL语句并执行,从而导致SQL注入攻击。
弱点:攻击者可以使用灵敏度执行恶意SQL语句以获取或违反数据库上的数据。
示例中的网络分为SQL语句,并成功执行,表明攻击成功。
固定建议:开发人员应改进5 .0.1 6 或更高版本中的ThinkPhp框架,以调整此SQL注入敏感性。
在处理用户输入和数据库操作时,应添加安全检查以防止SQL注入攻击。
了解并了解自己的结构和基础知识可以帮助更好地检测和规范潜在的安全弱点。
参考来源:ThinkPHP的官方文档:了解框架的结构和功能,以及官方的安全建议和维修解决方案。
相关文章:阅读和分析其他开发人员分离的敏感性和维修分析过程,以提高安全意识。
「原创」萌新也能看懂的ThinkPHP3.2.3漏洞分析
ThinkPP是一个高效,兼容且简单的PHP开发框架,并支持Windows / Unix / Linux服务器环境。官方版本需要PHP5 .0或更高版本,并且与MySQL,PGSQL,SQLITE数据库和PDDE扩展兼容。
Jia Ge对Ichengqiu市场中Thinkpp3 .3 .3 过程的学习脆弱性分析有了完整的记录。
适合初学者。
未经许可就严格禁止重印。
thinkphp3 .3 中的文章详细详细介绍了许多常见的文章,详细介绍了注射,注射,领带注射,查找 /选择 /删除注入,订购注入和缓存漏洞。
当字符串模式是控制器的参数的位置时,会有注射漏洞。
通过为变量用户设置断点并输入phpstromf7 ,您可以看到我的方法已在传递的参数中获得。
专注于过滤功能,首先使用htmlspecialchars过滤参数,然后使用think_filter过滤常规的SQL功能。
为了测量$ options [“ where”]数组中的$的值。
继续遵循视图以找到该方法,最后生成完整的SQL语句。
关键在于执行Parsewhebo模式并解析特定的注射有效载荷。
在脆弱性的到期时,可以使用参数传输的全局数组激活漏洞。
将断点直接设置为$用户,跟进F7 ,跳过该方法的位置,然后继续跟进查找,选择,buffSelectsql,paspesql和Parsewhebo方法。
借助以下,使用commeter $ val的形式为数组,{,“ exp''sql indivect'}。
此时,对参数和值的$ exp满意为剪辑,最后有效注入sql。
并将漏洞绑定到SCLESTONES上,并使用安全模式来证明the offerate in offerate partive。
绑定的方法,将参数值包裹在菌落中,然后遵循Parse Where的exp,参数值或前面的参数。
选择,buffSelectsql,paspesql和parsewhebo方法,在$上通过$,如果在ID = 1 P传递时被说明,则无法完成注射,这将发现,_parseoptions和_partsepeptions和_partype方法6 并传递了塑料中的参数。
读取和删除注入的开头与找到该方法相似,但是删除该方法还有其他步骤来确定其是否为空。
在订购注射漏洞中,首先在控制器中写入漏洞演示代码。
将断点设置为用户变量,然后遵循F7 ,但找到,选择,buffSelectsql和paresql方法。
使用$选项[“订单”]参数不是数组,订单 +注入有效载荷直接返回到最后一个有效负载。
缓存漏洞,Thinkfp3 .2 提供了缓存属性的F方法和S方法。
但是该方法以设定方法写在缓存中,并使用文件名模式来实现文件的路径并将其保存在../application/temption目录中。
最后,使用s上传递给MD5 的名称作为文件名,并使用fil_put_contents函数将写入文件。
总而言之,本文详细介绍了Thinkpp3 .2 .3 中的一些重要漏洞,并提供了特定的实现步骤和有效负载模型。
为了确保安全性,应仔细审查开发人员对参数的安全过滤代码,并遵循开发中的最佳实践。
在实际操作中,试图复制这些漏洞并验证安全环境可能会深入了解思维PPPP和安全性。
