ThinkPHP 5.1.x SQL注入漏洞分析与防护指南<\/h1>

漏洞概述<\/h2>
ThinkPHP 5.1.23之前的版本存在SQL注入漏洞（CVE-2018-16385），该漏洞源于程序在处理`order by<\/code>参数时，未正确过滤处理数组的key值。当攻击者能够控制该参数且传递的数据为数组时，可导致SQL注入攻击。<\/p>`

受影响版本<\/h2>

ThinkPHP < 5.1.23<\/li>
<\/ul>
漏洞原理分析<\/h2>
漏洞位置<\/h3>
漏洞主要存在于\/thinkphp\/library\/think\/db\/Builder.php<\/code>文件的parseOrder()<\/code>函数中。<\/p>
漏洞触发流程<\/h3>


参数处理流程<\/strong>：<\/p>

当传入的$order<\/code>参数为数组时，foreach<\/code>函数将其分为key和value形式处理<\/li>
当$val<\/code>为数组时，会进入parseOrderField()<\/code>函数<\/li>
<\/ul>
<\/li>

关键函数分析<\/strong>：<\/p>

parseKey()<\/code>函数对传入的$key<\/code>进行多重判断：

is_numeric<\/code>判断是否为数字<\/li>
判断$key<\/code>是否属于Expression<\/code>类<\/li>
strpos($key,false ===strpos($key,<\/code><\/li>
key && ($strict ||!preg_match(s]\/', $key))<\/code><\/li>
<\/ol>
<\/li>
攻击者的SQL注入语句会满足第4个条件，导致$key<\/code>被加上反引号后直接返回<\/li>
<\/ul>
<\/li>

拼接过程<\/strong>：<\/p>

处理后的$key<\/code>与$val<\/code>及field<\/code>字符串拼接<\/li>
最终与order by<\/code>形成完整的SQL查询语句<\/li>
系统调用query()<\/code>函数执行查询，触发漏洞<\/li>
<\/ul>
<\/li>
<\/ol>
利用关键点<\/h3>


field()函数要求<\/strong>：<\/p>

必须指定≥2个字段才能正常运行<\/li>
当表中只有一个字段时，可随意指定数字或字符串参数<\/li>
第一个参数必须是正确的表字段（会被反引号包裹）<\/li>
第二个参数可以是任意数字或字符串<\/li>
<\/ul>
<\/li>

利用条件<\/strong>：<\/p>

传入的$order<\/code>必须是数组<\/li>
$val<\/code>也必须是数组<\/li>
至少知道数据库表中的一个字段名称<\/li>
能够闭合反引号<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现<\/h2>
环境搭建<\/h3>


使用Composer安装ThinkPHP 5.1.1：<\/p>
composer create-project topthink\/think=<\/span>5.1.1 tp5.1 --prefer-dist
<\/span><\/span><\/code><\/pre><\/li>

创建Demo文件Test.php<\/code>，放置在\/tp5.1\/application\/index\/controller\/<\/code>目录下<\/p>
<\/li>

创建匹配的数据库表（如user<\/code>表，至少包含id<\/code>字段）<\/p>
<\/li>
<\/ol>
攻击Payload<\/h3>
http:\/\/127.0.0.1\/tp5.1\/public\/index\/test\/index?order[id`,111)|updatexml(1,concat(0x3a,user()),1)%23][]=1
<\/code><\/pre>
或<\/p>
http:\/\/127.0.0.1\/tp5.1\/public\/index\/test\/index?order[id`,'aaa')|updatexml(1,concat(0x3a,user()),1)%23][]=1
<\/code><\/pre>
漏洞修复方案<\/h2>
官方修复<\/h3>
升级到ThinkPHP 5.1.24或更高版本<\/p>
手动修复<\/h3>
参考官方补丁进行代码修改：

https:\/\/github.com\/top-think\/framework\/commit\/f0f9fc71b8b3716bd2abdf9518bcdf1897bb776<\/p>
防护建议<\/h2>

对所有用户输入进行严格的过滤和验证<\/li>
使用参数化查询或预处理语句<\/li>
遵循最小权限原则，限制数据库用户权限<\/li>
在生产环境中关闭错误信息显示<\/li>
定期更新框架和组件到最新版本<\/li>
<\/ol>
总结<\/h2>
该SQL注入漏洞源于ThinkPHP对order by<\/code>参数中数组key值处理不当，攻击者通过精心构造的数组参数可绕过过滤机制，实现SQL注入攻击。开发人员应及时更新框架版本，并对所有用户输入保持高度警惕，实施严格的安全验证措施。<\/p>

ThinkPHP 5.1.x SQL注入漏洞分析与防护指南<\/h1>

漏洞概述<\/h2> ThinkPHP 5.1.23之前的版本存在SQL注入漏洞（CVE-2018-16385），该漏洞源于程序在处理order by<\/code>参数时，未正确过滤处理数组的key值。当攻击者能够控制该参数且传递的数据为数组时，可导致SQL注入攻击。<\/p>

漏洞原理分析<\/h2>

漏洞位置<\/h3> 漏洞主要存在于\/thinkphp\/library\/think\/db\/Builder.php<\/code>文件的parseOrder()<\/code>函数中。<\/p>

漏洞复现<\/h2>

漏洞修复方案<\/h2>

官方修复<\/h3> 升级到ThinkPHP 5.1.24或更高版本<\/p>

手动修复<\/h3> 参考官方补丁进行代码修改： https:\/\/github.com\/top-think\/framework\/commit\/f0f9fc71b8b3716bd2abdf9518bcdf1897bb776<\/p>

漏洞概述<\/h2>
ThinkPHP 5.1.23之前的版本存在SQL注入漏洞（CVE-2018-16385），该漏洞源于程序在处理`order by<\/code>参数时，未正确过滤处理数组的key值。当攻击者能够控制该参数且传递的数据为数组时，可导致SQL注入攻击。<\/p>`

漏洞位置<\/h3>
漏洞主要存在于`\/thinkphp\/library\/think\/db\/Builder.php<\/code>文件的parseOrder()<\/code>函数中。<\/p>`

官方修复<\/h3>
升级到ThinkPHP 5.1.24或更高版本<\/p>

手动修复<\/h3>
参考官方补丁进行代码修改：
https:\/\/github.com\/top-think\/framework\/commit\/f0f9fc71b8b3716bd2abdf9518bcdf1897bb776<\/p>