ThinkPHP简介

ThinkPHP 是一个免费开源的，快速、简单的面向对象的 轻量级PHP开发框架 ，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的WEB应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。

漏洞简述

尽管ThinkPHP 5.0.x框架采用了参数化查询方式，来操作数据库，但是在 insert 和 update 方法中，传入的参数可控，且无严格过滤，最终导致本次SQL注入漏洞发生。

以ThinkPHP框架 5.0.x sql注入漏洞进行分析

thinkphp官网下载5.0.15版本： http://www.thinkphp.cn/down/1125.html 。搭建好数据库，数据库为tp，表名为user，其中有两个字段id和username。

修改数据库配置信息 application/database.php，在application/config.php 中打开调试和trace。

在 application/index/controller/Index.php 中Index类中添加方法：

public function testsql()
 {
 $username = input('get.username/a');
 db('user')->where(['id'=> 1])->insert(['username'=>$username]);
 }

我们本次的 payload 为：

http://127.0.0.1/thinkphp5.0.15/public/index.php/index/index/testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

解释如下：

http://127.0.0.1/thinkphp/ public/ index.php/ index/ index/ index
 
域名 网站目录 对外访问目录 入口文件 前台 控制器 方法名

扩展：

其中关于 updatexml 函数UPDATEXML (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc

第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。

第三个参数：new_value，String格式，替换查找到的符合条件的数据

作用：改变文档中符合条件的节点的值

访问payload，就可以触发漏洞了。

漏洞分析

首先，我们知道 insert 方法存在漏洞，那就查看 insert 方法的具体实现。

通过input获取到参数后，username变量情况如下：

跟入insert，thinkphp/library/think/db/Query.php

然后执行insert语句

$sql = $this->builder->insert($data, $options, $replace);

跟入 thinkphp/library/think/db/Builder.php

跟入parseData至 thinkphp/library/think/db/Builder.php

可以看出$val是数组，且根据$val[0]值为inc，会通过switch语句进入到’inc’：

此处的parseKey，即thinkphp/library/think/db/builder/Mysql.php

此处并未对传入的$key进行更多的过滤与检查，将其与前面经过parseKey的结果进行拼接后返回给result

至此注入成功。

漏洞修复

https://github.com/top-think/framework/commit/363fd4d90312f2cfa427535b7ea01a097ca8db1b

在进行dec和inc操作之前对$val[1]的值进行了再次确认。

总结

第一次审计Thinkphp框架 ，结合Thinkphp5.0手册以及网上教程完成此次漏洞的审计。