0x00 漏洞概述
本次漏洞存在于 Mysql 类的 parseWhereItem 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: ThinkPHP5全版本 。
0x01 环境
composer create-project topthink/think=5.0.10 tp5010
composer.json文件:
"require": {
"php": ">=5.4.0",
"topthink/framework": "5.0.10"
},
更新:执行composer update
接下来设置漏洞点和配置数据库
将 application/index/controller/Index.php 文件代码设置如下:
<?php
namespace appindexcontroller;
class Index
{
public function index()
{
$username = request()->get('username');
$result = db('users')->where('username','exp',$username)->select();
return 'select success';
}
}
创建数据库信息如下:
create database tpdemo;
use tpdemo;
create table users(
id int primary key auto_increment,
username varchar(50) not null
);
insert into users(id,username) values(1,'wtz');
在 config/database.php 文件中配置数据库相关信息
开启 config/app.php 中的 app_debug 和 app_trace
漏洞分析
payload:
http://127.0.0.1:88/tp5010/public/index.php/index/index/?username=)%20union%20select%20updatexml(1,concat(0x7,user(),0x7e),1)%23
这里的username接受了我们get传来的值,执行select方法。
用户输入的数据会原样进入框架的 SQL 查询方法中。首先程序先调用 Query 类的 where 方法,通过其 parseWhereExp 方法分析查询表达式,然后再返回并继续调用 select 方法准备开始构建 select 语句。(这个点得记住,框架的sql查询方法先进入 Query 类)
查看调用堆栈
这里$this->builder 为 hinkdbuilderMysql 类,该类继承于 Builder 类,所以接着会调用 Builder 类的 select 方法。
这里的options调用了parseExpress方法,作用就是获取表(也就是我们的users表)
我们去 Builder 类去看看select 方法
这里将他进行拼接返回$sql,
ps:这里程序会对 SQL 语句模板用变量填充,其中用来填充 %WHERE% 的变量中存在用户输入的数据。
我们跟进去看parsewhere看一下里面的值是怎么过来的
跟进buildWhere
就在当前页面:
先放图再分析:
我们的数据进入了buildWhere经过一个数组遍历赋值,又进入了parseWhereItem中的where子单元分析函数。
最后当操作符等于 EXP 时,将来自用户的数据直接拼接进了 SQL 语句,执行查询语句最终导致了 SQL注入漏洞 。
漏洞修复
未修复
总结
七月火师傅的图:
参考
https://mochazz.github.io/2019/03/23/ThinkPHP5漏洞分析之SQL注入3/#攻击总结