Thinkphp 5.1.7 parseData缺陷導致insert/update注入 分析
- 2019 年 10 月 3 日
- 筆記
[TOC]
環境搭建
$ composer create-project topthink/think thinkphp-5.1.7
修改composer.json 5.1.* ⇒ 5.1.7
$ composer update
分析
這個注入點與5.0.15的注入點位置都在parseData里,都是在解析set-data時直接將用戶完全控制的data拼接到SQL語句中。
下面來看漏洞點,首先根據Github的commit記錄進行定位
可以看到這裡直接刪除了default語句塊,並直接刪除了parseArrayData方法。
我們下面通過搭建5.1.7環境,來看一下被刪掉的語句在原版本中會有怎樣的影響。首先看一下控制器
這裡獲取一個username數組get變數,傳給$username,然後作為欄位’name’的值,插入test表。
我們先請求一條測試url:
127.0.0.1/thinkphp/thinkphp_5.1.7/public/index.php/index/index/sqli?username[0]=aaa&username[1]=bbb
可以看到此時$username的值為{"aaa","bbb"}。
下面在commit刪除的部分下個斷點,由於這個斷點位於parseData()處,所以我們先從parseData開始跟。
可以看到,這裡將$data解析成鍵值對,由於$val是數組且不為空,進入了switch-default語句塊,然後以用戶可控的$val作為參數傳入parseArrayData方法中。然後將獲得的返回值放到$result數組中,最終返回$result數組。我們先跟進一下parseArrayData
這裡先把$data的前兩個元素賦值給$type和$value。不過由於我們這個的第一個元素是aaa,因此沒有進入第一個case。通過分析第一個case可以發現,這裡直接將$value(即$data[1])、$data[2]、$data[3]拼接到了返回值$result中,因此我們把我們的username[0]的值改為point,然後再加一個username[2]。
測試url:
127.0.0.1/thinkphp/thinkphp_5.1.7/public/index.php/index/index/sqli?username[0]=point&username[1]=bbb&username[2]=ccc
調試一下: 
可以看到這裡直接將參數拼接進來。繼續調試,看看最終形成的sql語句:
返回頁面:
試一下報錯注入payload:
