• Thinkphp 5.1.7 SQL注入漏洞


    0x00 前言

    依旧是和上篇文章审计思路一致,越来越觉得代审积累经验很重要了。。还好自己没有头铁学了学php漏洞就头铁去审,哪怕仅仅是这几篇文章这几篇文章学会了debug,学会了看Github的commit记录进行漏洞定位。代审真香啊,越审越好玩。

    环境

    本次漏洞存在于 Mysql 类的 parseArrayData 方法中由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

    composer create-project topthink/think=5.1.7 tp5.1.7
     composer.json文件:
     "require": {
            "php": ">=5.6.0",
            "topthink/framework": "5.1.7"
        },
        
        更新:执行composer update
    

    接下来设置漏洞点和配置数据库

    将 application/index/controller/Index.php 文件代码设置如下:

    <?php
    namespace appindexcontroller;
    class Index
    {
        public function index()
        {
            $username = request()->get('username/a');
            db('users')->where(['id' => 1])->update(['username' => $username]);
            return 'Update success';
        }
    }
    

    创建数据库信息如下:

    create database tpdemo;
    use tpdemo;
    create table users(
    	id int primary key auto_increment,
    	username varchar(50) not null
    );
    insert into users(id,username) values(1,'wtz');
    

    在 config/database.php 文件中配置数据库相关信息

    开启 config/app.php 中的 app_debug 和 app_trace

    漏洞分析

    先看github上的版本更新

    直接删除了default语句块,并直接删除了parseArrayData方法。
    payload:

    http://127.0.0.1:88/tp517/public/index.php/index/index?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)^&username[3]=0
    

    这里获取一个username数组get变量,传给$username,然后作为字段'username'的值,插入users表。
    通过查看调用堆栈,我们发现了我们sql语句执行点和调用了update

    ps:Query 类的 update 方法,该方法调用了 Connection 类的 update 方法,该方法又调用了 $this->builder 的 insert 方法,这里的 $this->builder 为  hinkdbuilderMysql 类,该类继承于 Builder 类
    我们进入

    可以看到此次漏洞就是因为调用了update导致的sql注入
    我们继续看修复删除的一个方法:

    parseArrayData

    这里直接返回了result

    这里data值给了列表

    这里也就是我们payload第一个是point原因,直接将$value(即$data[1])、$data[2]、$data[3]拼接到了返回值$result中

    最后返回result
    这一步返回的result进入了哪里呢?我们回去看

    可以看到这里参数已经得到我们可控且想要的了,我们需要一个语句拼接点,执行点开始就说了。找拼接点,哪里把他拼接到了update中:
    找了一会发现还是开始提到的地方:

    和之前的 insert 注入一样,用 str_replace 将变量填充到 SQL 语句中,最终执行,导致 SQL注入漏洞 。

    漏洞修复

    官方直接将 parseArrayData 方法删除了。

    总结

    debug是真好用啊
    最后放一张七月火师傅的图

    参考

    https://mochazz.github.io/2019/03/21/ThinkPHP5漏洞分析之SQL注入2/#攻击总结

  • 相关阅读:
    Redis源码解析:28集群(四)手动故障转移、从节点迁移
    Redis源码解析:27集群(三)主从复制、故障转移
    Redis源码解析:26集群(二)键的分配与迁移
    centos 6.5 安装composer
    Centos安装php高版本
    CentOS快速搭建LAMP环境
    封装类似thinkphp连贯操作数据库的Db类(简单版)。
    php封装pdo操作数据的工具类
    php中使用mysqli和pdo扩展,测试mysql数据库的执行效率。
    php中使用mysqli和pdo扩展,测试连接mysql数据库的效率。
  • 原文地址:https://www.cnblogs.com/wangtanzhi/p/12729021.html
Copyright © 2020-2023  润新知