当前位置：首页 > news >正文

sql注入实战——thinkPHP

news 2025/9/18 3:48:43

sql注入实战——thinkPHP

sql注入实战——thinkPHP
- thinkPHP前期环境搭建
- 创建数据库
- 开始寻找漏洞点
- - 输入SQL注入语句
  - 漏洞分析
- 实验错误

sql注入实战——thinkPHP

thinkPHP前期环境搭建

下载thinkPHP文件
在这里插入图片描述
解压，将framework关键文件放到think-5.0.15中，改名为thinkphp

再将think-5.0.15放到WWW文件夹中

输入localhost/WWW/think-5.0.15/public/index.php，访问应用入口文件
在这里插入图片描述

搭建完成

创建数据库

登入mysql
在这里插入图片描述
创建数据库

修改数据库连接文件 \phpstudy_pro\WWW\think-5.0.15\application\database.php
在这里插入图片描述
编写控制器——编写一个get传参，传参uesrname，默认值为a

将上面get传参获得的username插入到数据库users里面

db('users')->insert(['username' => $username]);

在这里插入图片描述

开始寻找漏洞点

输入SQL注入语句

http://localhost/think-5.0.15/public/index.php?username[0]=inc&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1

在这里插入图片描述
注入成功

漏洞分析

官方发布的5.0.16版本更新说明中，发现其中提到了该版本修复了一个漏洞
在这里插入图片描述
查阅commit记录，发现其修改的Builder.php文件代码比较可疑从官网的更新日记中可以看到（绿色为新添加补丁）漏洞大概率出于此处
接着我们直接跟着上面的攻击payload看看漏洞原理。首先payload数据经过thinkphp内置方法的过滤后直接进入了$thik->builder的insert方法，所以从insert函数开始
在这里插入图片描述

断点下到insert语句，可以看到username传参1个数组，分别是我们输入的三个变量

username[0]=inc
username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)
username[2]=1

之后走到db类中的insert方法
在这里插入图片描述
这是数据库的连接，跳出，来到insert函数

此处的$data中一个数组，三个变量即

username[0]=inc
username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)
username[2]=1

来到sql语句，传递data，options，replace三个传参
data：一个数组三个变量，同上
options：表名table=“users”

进入builder的insert方法中
在这里插入图片描述
而 Mysql类继承于 Buider 类，即上面的this->builder->insert()最终调用的是 Builder 类的 insert方法。在 insert 方法中，我们看到其调用 parseData方法来分析并处理数据，而 parseData方法直接将来自用户的数据val[1]进行了拼接返回。我们的恶意数据存储在val[1]中，虽经过了 parseKey 方法处理，当丝毫不受影响，因为该方法只是用来解析处理数据的，并不是清洗数据。