当前位置：首页 > news >正文

thinkphp5之sql注入漏洞-builder处漏洞

news 2026/4/2 19:31:07

适用版本

环境搭建

文件下载安装

配置文件修改

漏洞分析

适用版本

注：thinkphp版本：5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5

环境搭建

文件下载安装

在github上面下载相应版本，下载think文件，下载framework文件，然后将framework文件修改名字为thinkphp，然后将修改后的framework放在think文件下，然后将think放在网站目录下

配置文件修改

修改数据库连接文件，这里需要提前创建一个数据库文件

修改你的控制器

$username = request()->get('username/a');

这里是接收一个get传参，然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a

  db('users')->insert(['username'=>$username]);

这里就是将你输入的值传道数据库里

漏洞分析

漏洞我们可以在framework中的5.0.16版本去看，因为后面的版本肯定是把前面的版本bug修复了。所以可以从里面看到bug是什么样子，看一下5.0.16官方更新了什么东西，到底是把什么修复了。

来看一下啊它的更新提交，然后看看有啥子漏洞

在builder中会有一个修改的地方

下面我们来追一下这个代码，首先输入注入语句

http://127.0.0.1:9999/thinkphp/think-5.0.15/public/index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

这个需要开启调试模式，注入成功，将user回显了过来

在这里下断，看他一步步执行步骤

首先username的值为0="inc",1="updatexml(1,concat(0x7,user(),0x7e),1)",2="1"

将断点打在插入语句

看一下他的insert这个函数，数据传输是自己写的值

然后下一步追到builder上，即上面的 $this->builder->insert() 最终调用的是 Builder 类的 insert 方法。然后调用 parseData 方法来分析并处理数据

然后咱来看一下parseData的方法，下图代码

这个代码中上面第一个红框将data数组中遍历，然后val中就是data的值，然后看第二个红框三个不同的参数对应不同的处理方式，这三个处理方式都可以进行注入，但是insert方法中会对exp进行过滤如果数据中存在 exp ，则会被替换成 exp空格，所以三种处理方式中选项等于exp的无法使用

然后经过parseData处理的数据返回到Builder中的insert，然后下面的sql中的str_replace中的第一个数组被第二个数组中的值进行替换

上图代码中第二个数组的意思

$sql = str_replace(['%INSERT%', '%TABLE%', '%FIELD%', '%DATA%', '%COMMENT%'],[$replace ? 'REPLACE' : 'INSERT',$this->parseTable($options['table'], $options),implode(' , ', $fields),implode(' , ', $values),$this->parseComment($options['comment']),], $this->insertSql);

$replace ? 'REPLACE' : 'INSERT'

replace有值就是INSERT没值就默认是REPLACE

 $this->parseTable($options['table'], $options)

option中table是users

implode(' , ', $fields)
implode(' , ', $values)

将数组转换为字符串，fileds是username、values就是你写的报错语句

  $this->parseComment($options['comment'])

数据库建表的时候允许你建一个注释comment就是这个注释，这个注释没有的话就为空然后就插入到数据库中，引起报错注入

回来以后数组的值经过替换后变成如下代码

thinkphp5之sql注入漏洞-builder处漏洞

适用版本

环境搭建

文件下载安装

配置文件修改

漏洞分析

相关文章：

thinkphp5之sql注入漏洞-builder处漏洞

30集如何编写ESP32程序接入AIGC实现更多有趣的功能-《MCU嵌入式AI开发笔记》

【JUC】Java对象内存布局和对象头

简单介绍一下css中transform的内容

C 循环

什么是设计模式？一文理解，通俗易懂！

doxygen制作接口文档

PDF怎么在线转Word？介绍四种转换方案

大数据应用型产品设计方法及行业案例介绍（可编辑110页PPT）

【Python零基础学习】Python环境安装和IDE选择

【langchain学习】使用LangChain创建具有上下文感知的问答系统

原神4.8版本升级计划数据表

海南云亿商务咨询有限公司放大电商品牌影响力

用exceljs和file-saver插件实现纯前端表格导出Excel（支持样式配置，多级表头）

TIA博途_下载时提示密码错误，但是之前并没有设置过密码的解决办法

使用消息队列、rocketMq实现通信

通过LLM大模型将「白雪公主的故事」转为图数据存储

MyBatisPlus 第一天

线程与多线程（二）

算法板子：欧拉函数——求一个数的欧拉函数、线性时间内求1~n所有数的欧拉函数

PyTorch 2.8镜像功能体验：支持多卡计算，大幅缩短模型训练时间

一文吃透Redis集群：架构、原理、搭建与实战优化

给OpenClaw小龙虾喂点 “数据库饲料”，它竟能替你加班到天亮？

揭秘AI教材写作：低查重率，用AI轻松搞定教材编写难题！

从话题数据到3D应用：用Orbbec DaBai DCL和ROS2快速搭建你的第一个点云处理流水线

ViPER4Windows-Patcher 音效修复工具：让无损音质在Windows 10/11完美呈现

Hunyuan-MT-7B翻译模型实测：33种语言互译效果到底如何？

OpenClaw镜像体验：Qwen3.5-9B云端部署避坑指南

QMK Toolbox终极指南：从零开始掌握键盘固件刷写的完整教程

从DWG到GIS地图：手把手教你用Java提取坐标并导入PostgreSQL/PostGIS