一分钟了解有关ThinkPHP框架的审计(分享)
时间:2022-03-03 11:50
下面由thinkphp框架教程栏目给大家介绍一分钟了解有关ThinkPHP框架的审计(分享),希望对需要的朋友有所帮助! ThinkPHP简介 ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。 漏洞简述 尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。 以ThinkPHP框架 5.0.x sql注入漏洞进行分析 thinkphp官网下载5.0.15版本: http://www.thinkgxlsystem.com/down/1125.html 。搭建好数据库,数据库为tp,表名为user,其中有两个字段id和username。 修改数据库配置信息 application/database.php,在application/config.php 中打开调试和trace。 在 application/index/controller/Index.php 中Index类中添加方法: 解释如下: http://127.0.0.1/thinkphp/ public/ index.php/ index/ index/ index 扩展: 其中关于 updatexml 函数UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格式,替换查找到的符合条件的数据 作用:改变文档中符合条件的节点的值 访问payload,就可以触发漏洞了。 漏洞分析 首先,我们知道 insert 方法存在漏洞,那就查看 insert 方法的具体实现。 通过input获取到参数后,username变量情况如下: 跟入insert,thinkphp/library/think/db/Query.php 然后执行insert语句 跟入 thinkphp/library/think/db/Builder.php 跟入parseData至 thinkphp/library/think/db/Builder.php 可以看出$val是数组,且根据$val[0]值为inc,会通过switch语句进入到’inc’: 此处的parseKey,即thinkphp/library/think/db/builder/Mysql.php 此处并未对传入的$key进行更多的过滤与检查,将其与前面经过parseKey的结果进行拼接后返回给result 至此注入成功。 漏洞修复 https://github.com/top-think/framework/commit/363fd4d90312f2cfa427535b7ea01a097ca8db1b 在进行dec和inc操作之前对$val[1]的值进行了再次确认。 总结 第一次审计Thinkphp框架 ,结合Thinkphp5.0手册以及网上教程完成此次漏洞的审计。 相关推荐:最新的10个thinkphp视频教程 以上就是一分钟了解有关ThinkPHP框架的审计(分享)的详细内容,更多请关注www.gxlsystem.com其它相关文章!public function testsql()
{
$username = input('get.username/a');
db('user')->where(['id'=> 1])->insert(['username'=>$username]);
}
域名 网站目录 对外访问目录 入口文件 前台 控制器 方法名$sql = $this->builder->insert($data, $options, $replace);