ThinkPHP Ubb标签 读取任意内容

详细说明： Common/extend.phpCore/Extend/Function/extend.php 成因:ThinkPHP的Ubb标签，有一个代码高亮的功能，即满足: codexxx/code或者phpxxx/php的时候，会对中间的xxx读取，并高亮，xxx是路径，而非具体的代码，如下图1,输入路径后，当文件存在，返回的是高亮后的文件内容 当path=code/etc/passwd/code，成功读取对应内容，也就是说，当某网站用ThinkPHP开发，并提供评论功能（支持UBB）标签的时候，发帖并输入code/etc/passwd/code，即可读取任意内容...

ThinkPHP设计缺陷导致逻辑漏洞造成密码找回绕过等问题

简要描述： 在不正确使用 ThinkPHP 时，可能会造成参数处理流程导致的逻辑漏洞。 详细说明： ThinkPHP 处理传入的参数的时候，如果直接带入一个数组，接着数组带入 SQL 语句，会产生之前 phithon 大牛爆的 0day： WooYun: ThinkPHP框架架构上存在SQL注入 利用方式很简单： data0=exp&data1=SQLI 然而，thinkphp 支持的不仅仅是 exp，像 like、in，都会支持。 也就是说，我们可以在很多地方精心构造一个参数，导致造成逻辑漏洞。比如找回密码、权限验证等。 我们传入： data0=like&data1=x%25...

thinkphp 某处缺陷可造成sql注射

简要描述： thinkphp 某处缺陷可造成sql注射 详细说明： 下载最新的版本: 强调一下和ph大神的漏洞 信息不一样 地方和函数都不一样 他那个已经被修复了 写一个demo: public function test $data = $GET'data'; $u = M'Data'-dataarray 'data' = $data -add; dump$u; 问题出在哪里： 先看看data函数: public function data$data='' if'' === $data && !empty$this-data return $this-data;...

53KF客服系统通用注入（thinkphp案例）

简要描述： thinkphp 框架注入. 详细说明： 见 WooYun: ThinkPHP最新版本SQL注入漏洞 延时注入: http://test2.53kf.com/new/client.php?m=Statistic&a=setLost&field=chatrobotlost&type=plus&companyid0==-1%20or%201!=sleep1limit%201%23between 漏洞证明： 很多企业都使用此客服系统: 恒生电子...

ThinkPHP 默认配置导致验证码暴力破解

简要描述： ThinkPHP 默认配置导致验证码暴力破解 详细说明： 最近用Thinkphp时发现，验证码类默认的check函数在检查完验证码是否正确后，并未重置session，导致可被暴力破解。 写这样的代码，再看看Verify类的check函数， public function check$code, $id = '' $key = $this-authcode$this-seKey.$id; // 验证码不能为空 $secode = session$key; ifempty$code || empty$secode return false; // session 过期...

Mao10CMS V3.3.0 两处sql注入（官网demo测试）

简要描述： V3.3.0 两处sql注入。 详细说明： 发现mao10 用的是老版本的tp框架，于是乎注入就来了。。 1 /Application/User/Controller/IndexController.class.php public function edit$id=false if!isnumeric$id $id = mcuserid; ; ifisnumeric$id ifmcuserid==$id ifmcremovehtml$POST'title','all' $title =...

ThinkPHP a filter caused by improper SQL injection vulnerabilities and solutions-vulnerability warning-the black bar safety net

The problem occurs in the session, the Thinkphp support the replacement of the session handle that. the handle includes a Db and Memcache, the following configuration can use database as session storage: Set options in the database to insert the table prefix think can define your own: the /...

Mao10CMS V3.1.0 SQL注入

简要描述： Mao10CMS V3.1.0 SQL注入 详细说明： Application\User\Controller\LostpassController.class.php 第13行 $pageid = M'meta'-where"metakey='useremail' AND metavalue='".I'param.useremail'."' AND type='user'"-getField'pageid'; 这里的I'param.useremail' 直接从GET插入，没有经过过滤。 把ThinkPHP执行的sql语句输出，输入单引号测试一下 测试payload...

ThinkPHP某处设计缺陷可导致getshell

简要描述： ThinkPHP某处设计缺陷可导致getshell 详细说明： thinkphp中有个缓存函数S，在使用文件方式的缓存的时候，程序会有写出文件的操作。由于没做好过滤导致了代码执行。 判断缓存不存在则写出缓存文件。在使用文件缓存的时候，由于未对缓存文件设置访问权限。导致代码执行。 浏览器中访问 http://localhost:8888/thinkphp/Home/Index/index/?w=%0A;phpinfo%28%29;// 缓存写出成功，然后访问应用目录下的runtime/temp目录，文件名为key的32位md5. 成功执行phpinfo 漏洞证明：...

ThinkPHP一处过滤不当造成SQL注入漏洞

简要描述： 内核中某个模块开发的太粗糙啦。 详细说明： 问题出现在session，Thinkphp支持更换session handle。 handle中包括Db和Memcache，如下配置即可使用数据库作为session的存储器： 设置了选项后，在数据库里插入这个表（前缀think可以自己定义）： / 数据库方式Session驱动 CREATE TABLE thinksession sessionid varchar255 NOT NULL, sessionexpire int11 NOT NULL, sessiondata blob, UNIQUE KEY sessionid...

ThinkPHP 3.0~3.2 SQL injection vulnerability in detail and use-vulnerability and early warning-the black bar safety net

! ThinkPHP 3.03.2 a target=SQL injection vulnerability in detail with the use of" style="border: 0px;" onload="return imgzoomthis,5 5 0;" onclick="javascript:window. openthis. src;" style="cursor:pointer;"/ 0x00 background thinkphp recent vulnerability frequency, this exploit belongs to the...

New Oriental OA system patches timely thinkphp vulnerability to execute arbitrary system commands(getshell)-vulnerability warning-the black bar safety net

Brief description: New Oriental OA system patch is not timely, the thinkphp vulnerability to execute arbitrary system commandsgetshell Detailed description: ! https://. xdf. cn/mapp/index. php/module/action/param1/$%7B@printvardumpDAdmin-%3Eselect%7D The results are as follows: --------- array1 0...

从ThinkPHP谈基于框架开发程序的安全性二（有开源程序实例）

简要描述： 从ThinkPHP谈基于框架开发程序的安全性二，继续讨论基于框架开发可能带来的问题，厂商忽略不忽略都没关系，主要是给大家提出来，不管是程序员安全意识的问题，还是框架本身的设计缺陷，总之在使用这些框架开发时不要给自己挖坑了。 详细说明： 首先我们来看看官方文档： http://document.thinkphp.cn/manual32.htmlmodelinstance 这里主要介绍了模型实例化的一些方法 终点介绍了D方法和M方法的使用 D方法实例化 select; M方法实例化 // 使用M方法实例化 $User = M'User'; // 和用法 $User = new...

从ThinkPHP谈基于框架开发程序的安全性（从SQL注入到代码执行）

简要描述： 从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等最新版漏洞证明为例 详细说明： 从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等为例 之前在看ThinkPHP开发手册的时候看到这个： 字符串方式 字符串方式条件即以字符串的方式将条件作为 where 方法的参数，例子： $Dao = M"User"; $List = $Dao-where'uidfind; 实际执行的 SQL 为： SELECT FROM user WHERE uidwhere'role='.$role-find;...

ThinkPHP一处XSS漏洞（需要特定环境触发）

简要描述： 一处XSS，在特定的环境下甚至触发SQL注入，该学代码审计，如果认为该漏洞无影响，直接忽略即可！ 详细说明： 代码出现在I方法中 关于I的方法，我就不多介绍了，具体可以参考官方手册，下面贴出部分关键代码 文件位置:/ThinkPHP/Common/functions.php function I$name,$default='',$filter=null,$datas=null ifstrpos$name,'.' // 指定参数来源 list$method,$name = explode'.',$name,2; else // 默认为自动判断 $method = 'param...

ThinkOX full version through the kill 0day-vulnerability warning-the black bar safety net

Affected versions: ThinkOX the full version of the pass to killonethink and thinkphp framework may be affected, particularly too lazy to do it, who are interested in your own analysis. Vulnerability description: Through a dynamic caching mechanism, the input illegal content. Malicious execution o...

ThinkPHP补丁修复不当导致SQL注入

简要描述： 放学回寝室，发现大家都在吐槽这个补丁。 这补丁我也是看醉了。逻辑有问题啊。。 详细说明： 这是ThinkPHP对这次注入的补丁：https://github.com/liu21st/thinkphp/commit/23c6e130ce75f2132e5b48699363a75ed28e15b2 elseifisarray$val && isset$REQUEST$key && isarray$REQUEST$key $options'where'$key = string$val; 这逻辑…… 简单说一下他的逻辑：$key是数据库字段名字，$val是我传入的参数。...

ThinkPHP框架架构上存在SQL注入

简要描述： ThinkPHP框架本身缺陷导致SQL注入漏洞，基本影响所有使用ThinkPHP开发的应用，包括thinksns、onethink等，这里以thinkphp自家的OneThink为例。 这个猛料，希望能加精呀 详细说明： 很多人天真的以为，使用了框架提供的数据库查询方法，不再进行SQL语句拼接，就能完美避免SQL注入。那么你就错了，有时候框架反而成为带你进入陷阱的人。 我们翻开最新版thinkphp框架文档，其中的“表达式查询”章节：http://document.thinkphp.cn/manual32.htmlexpressquery...

ThinkPHP架构设计不合理极易导致SQL注入

简要描述： 没有上一个问题严重，但也是thinkphp设计上的隐患，提出来希望能修改，不过忽略了也没办法。 实际上这两个洞的意义不仅于此，这是框架流行的时代，注入的一个新思路。 详细说明： 这个问题其实应该从前段时间Th1nk发的mongodb注入说起，http://drops.wooyun.org/tips/3939，其中提到了mongodb一种注入方式：...

大米CMS注入后台可以getshelll

简要描述： 大米CMS注入，后台可以getshelll 详细说明： 一注入 1.挖洞前奏 Damicms搭建在本地以后，对cms\dami\Core\Lib\Think\Db\Db.class.php进行修改，将sq语句vardump处理。 然后就进行黑盒测试。搜索点，以及admin登入点输入单引号就会给过滤了。。。 看到有注册功能，发现登入点居然没有过滤单引号。。。 这运气比较好了 2.漏洞原理 于是苦逼看代码，发现thinkphp 看不懂 - - 去学习了一下回来了。。。。 发现登入点在: dami\Web\Lib\Action\MemberAction.class.php 这控制器...