Thinkphp 5.1.7 SQL注入漏洞

0x00 前言

依旧是和上篇文章审计思路一致，越来越觉得代审积累经验很重要了。。还好自己没有头铁学了学php漏洞就头铁去审，哪怕仅仅是这几篇文章这几篇文章学会了debug，学会了看Github的commit记录进行漏洞定位。代审真香啊，越审越好玩。

环境

本次漏洞存在于 Mysql 类的 parseArrayData 方法中由于程序没有对数据进行很好的过滤，将数据拼接进 SQL 语句，导致 SQL注入漏洞 的产生。漏洞影响版本： 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

composer create-project topthink/think=5.1.7 tp5.1.7
 composer.json文件：
 "require": {
        "php": ">=5.6.0",
        "topthink/framework": "5.1.7"
    },
    
    更新：执行composer update

接下来设置漏洞点和配置数据库

将 application/index/controller/Index.php 文件代码设置如下：

<?php
namespace appindexcontroller;
class Index
{
    public function index()
    {
        $username = request()->get('username/a');
        db('users')->where(['id' => 1])->update(['username' => $username]);
        return 'Update success';
    }
}

创建数据库信息如下：

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,'wtz');

在 config/database.php 文件中配置数据库相关信息

开启 config/app.php 中的 app_debug 和 app_trace

漏洞分析

先看github上的版本更新

直接删除了default语句块，并直接删除了parseArrayData方法。
payload:

http://127.0.0.1:88/tp517/public/index.php/index/index?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)^&username[3]=0

这里获取一个username数组get变量，传给$username，然后作为字段'username'的值，插入users表。
通过查看调用堆栈，我们发现了我们sql语句执行点和调用了update

ps：Query 类的 update 方法，该方法调用了 Connection 类的 update 方法，该方法又调用了 $this->builder 的 insert 方法，这里的 $this->builder 为  hinkdbuilderMysql 类，该类继承于 Builder 类
我们进入

可以看到此次漏洞就是因为调用了update导致的sql注入
我们继续看修复删除的一个方法：

parseArrayData

这里直接返回了result

这里data值给了列表

这里也就是我们payload第一个是point原因，直接将$value(即$data[1])、$data[2]、$data[3]拼接到了返回值$result中

最后返回result
这一步返回的result进入了哪里呢？我们回去看

可以看到这里参数已经得到我们可控且想要的了，我们需要一个语句拼接点，执行点开始就说了。找拼接点，哪里把他拼接到了update中：
找了一会发现还是开始提到的地方：

和之前的 insert 注入一样，用 str_replace 将变量填充到 SQL 语句中，最终执行，导致 SQL注入漏洞 。

漏洞修复

官方直接将 parseArrayData 方法删除了。

总结

debug是真好用啊
最后放一张七月火师傅的图

参考

https://mochazz.github.io/2019/03/21/ThinkPHP5漏洞分析之SQL注入2/#攻击总结