问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
活动
摸鱼办
搜索
登录
注册
ThinkPHP SQL注入漏洞(CVE-2021-44350)分析
漏洞分析
师傅们情人节快乐~来一起分析个洞八
0x01漏洞描述 ======== 顶想信息科技 ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。 ThinkPHP 5.0.x <=5.1.22 存在SQL注入漏洞,该漏洞源于通过Builder.php中的parseOrder函数。 0x02影响版本 ======== ThinkPHP 5.0.x <=5.1.22 0x03环境搭建 ======== Test on ThinkPHP-5.0.5,其完整版的源码:<http://www.thinkphp.cn/donate/download/id/870.html> PHPstorm + Xdebug配置 ------------------- 具体配置过程不做详细说明,最后效果大概如下:  phpinfo页面中  数据库配置 ----- 在框架源码中的`database.php`数据库配置文件中添加相关的数据库信息,这里以连接mysql默认已有的数据库为例  tp5源码配置 ------- 由于是tp5框架问题,所以可以在`Index.php`访问页面中修改成以下代码  0x04漏洞分析 ======== 在`Index.php`文件中断点逐步跟进即可~ 访问页面在url传入以下参数及值 ```php ?test[user^updatexml(1,concat(0x7,user(),0x7e),1)%23]=1 ```  先看到`input()`中对接收http请求服务在`Request.php`进行了简单的判断和处理,并且从中可得到我们所构造的恶意键值对  接着返回到`Index.php`文件的第二个断点,`helper.php`中的`db()`函数对数据库进行connect连接操作,接着到`Query.php`文件的`where()`函数,这边也是没有任何的问题  紧接着来到`order()`函数中,可以看到我们的`$field`数据内容是直接存储到了`$this->options['order']`当中  接着调用最后的`find()`函数以在数据库做sql语句的执行,先是利用`parseExpress()`函数提取sql语句中的关键字等操作   接着`Query.php`中的`$sql = $this->builder->select($options);`会调用`Builder.php`中的`Select()`函数生成Sql语句,关键在于该方法中对`$options`中的`order`键值对做了`parseOrder()`函数的过滤 ```php public function select($options = []) { $sql = str_replace( ['%TABLE%', '%DISTINCT%', '%FIELD%', '%JOIN%', '%WHERE%', '%GROUP%', '%HAVING%', '%ORDER%', '%LIMIT%', '%UNION%', '%LOCK%', '%COMMENT%', '%FORCE%'], [ $this->parseTable($options['table'], $options), $this->parseDistinct($options['distinct']), $this->parseField($options['field'], $options), $this->parseJoin($options['join'], $options), $this->parseWhere($options['where'], $options), $this->parseGroup($options['group']), $this->parseHaving($options['having']), $this->parseOrder($options['order'], $options), $this->parseLimit($options['limit']), $this->parseUnion($options['union']), $this->parseLock($options['lock']), $this->parseComment($options['comment']), $this->parseForce($options['force']), ], $this->selectSql); return $sql; } ``` 在`parseOrder()`函数中,将`$key`和`$options`参数传入`parseKey()`函数过滤`$key`值  在`parseKey()`函数中未对key中做任何消除敏感字符的过滤、检测,即照常返回原来的key值  所以在`parseOrder()`函数中将直接返回以下内容  将得到最终所要执行的sql语句  在事件回调代码块中对以上得到的sql语句,来到`Connection.php`中的`query()`函数进行sql语句的查询 ```php $result = $this->query($sql, $bind, $options['master'], $options['fetch_pdo']); ``` 最后在此处触发了错误的sql注入  在此处将返回我们成功注入sql的报错信息  调用链如下: ```php helper#db --> 连接数据库 Query#where --> 匹配where关键字 Query#order --> 匹配order关键字 Query#find,Builer#select --> 生成sql查询语句 Builer#parseOrder --> 过滤$options中的order键值对 Mysql#parseKey --> 过滤order中的key值 Query#query,Connection#Query --> 执行sql语句 PDOException#getLastsql --> 返回报错信息 ``` 0x05总结一下 ======== (仅个人理解)就是在键值对中的构造恶意sql语句到key即键中,接着在生成sql查询语句过程中未对order(包括其他关键字)中的key做敏感字符串的过滤,导致将key值内容拼接进sql语句中,达到sql注入的目的
发表于 2022-03-15 09:22:25
阅读 ( 6272 )
分类:
漏洞分析
1 推荐
收藏
0 条评论
请先
登录
后评论
w1nk1
10 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!
