ThinkPHP 5.0 SQL注入漏洞详细分析<\/h1>

漏洞概述<\/h2>
ThinkPHP 5.0.15版本中存在一个SQL注入漏洞，攻击者可以通过构造特殊的数组参数，将恶意SQL语句注入到数据库查询中。该漏洞主要源于框架对数组参数的处理不当，特别是在使用`inc<\/code>或dec<\/code>操作时未对用户输入进行充分过滤。<\/p>`

漏洞基础<\/h2>
关键函数<\/h3>

list()<\/code> - 把数组中的值赋给一组变量<\/li>
array_walk_recursive()<\/code> - 对数组中的每个成员递归地应用用户函数<\/li>
is_scalar()<\/code> - 检测变量是否是一个标量<\/li>
<\/ul>
环境搭建<\/h3>

使用Composer回退到5.0.15版本：<\/li>
<\/ol>
"require"<\/span>:<\/span> {
<\/span><\/span>    "php"<\/span>: ">=5.4.0"<\/span>,
<\/span><\/span>    "topthink\/think-installer"<\/span>: "5.0.15"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
创建测试控制器：<\/li>
<\/ol>
namespace<\/span> app\index\controller<\/span>;
<\/span><\/span>
<\/span><\/span>class<\/span> Index<\/span> {
<\/span><\/span>    public<\/span> function<\/span> index<\/span>() {
<\/span><\/span>        $username =<\/span> request<\/span>()-><\/span>get<\/span>('username\/a'<\/span>);
<\/span><\/span>        db<\/span>('users'<\/span>)-><\/span>insert<\/span>(['username'<\/span> =><\/span> $username]);
<\/span><\/span>        return<\/span> 'Update success'<\/span>;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
数据库配置：<\/li>
<\/ol>
create<\/span> database<\/span> tpdemo;
<\/span><\/span>use tpdemo;
<\/span><\/span>create<\/span> table<\/span> users(
<\/span><\/span>    id int primary<\/span> key<\/span> auto_increment,
<\/span><\/span>    username varchar(50<\/span>) not<\/span> null<\/span>
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>漏洞复现<\/h2>
攻击URL：<\/p>
http:\/\/127.0.0.1\/tp5.0.22\/public\/index.php\/index\/Index\/index?username[0]=dec&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1
<\/code><\/pre>
漏洞详细分析<\/h2>
1. 参数获取阶段<\/h3>
请求进入request()->get('username\/a')<\/code>方法：<\/p>

\/a<\/code>表示强制将参数转换为数组<\/li>
框架通过input()<\/code>方法处理输入参数<\/li>
<\/ul>
input()<\/code>方法关键流程：<\/h4>

解析参数名和类型（username\/a<\/code>被拆分为username<\/code>和a<\/code>）<\/li>
对数据进行递归过滤（array_walk_recursive<\/code>）<\/li>
强制类型转换（typeCast<\/code>将数据转为数组）<\/li>
<\/ol>
2. 数据库操作阶段<\/h3>
进入db('users')->insert(['username' => $username])<\/code>：<\/p>
2.1 表信息获取<\/h4>

通过getTableInfo()<\/code>获取表结构<\/li>
执行SHOW COLUMNS FROM users<\/code>查询字段信息<\/li>
确定字段绑定类型（getFieldBindType<\/code>）<\/li>
<\/ul>
2.2 SQL构建<\/h4>
在parseData()<\/code>方法中处理数据：<\/p>

当参数是数组且第一个元素为inc<\/code>或dec<\/code>时，会直接拼接SQL<\/li>
攻击payload：username[0]=dec&username[1]=恶意SQL&username[2]=1<\/code><\/li>
最终拼接为：`username` = updatexml(1,concat(0x7e,user(),0x7e),1)-1<\/code><\/li>
<\/ul>
2.3 SQL执行<\/h4>

使用PDO预处理执行生成的SQL语句<\/li>
由于恶意SQL已被直接拼接，导致注入成功<\/li>
<\/ul>
漏洞原理总结<\/h2>

参数处理不当<\/strong>：框架允许通过数组形式接收参数，且对数组元素的过滤不充分<\/li>
SQL拼接漏洞<\/strong>：当使用inc<\/code>或dec<\/code>操作时，直接将用户输入拼接到SQL语句中<\/li>
缺乏预处理<\/strong>：虽然使用了PDO，但恶意SQL在预处理前已被拼接<\/li>
<\/ol>
修复建议<\/h2>

升级到最新版本的ThinkPHP<\/li>
对用户输入进行严格过滤，特别是数组参数<\/li>
避免直接将用户输入拼接到SQL语句中<\/li>
<\/ol>
参考链接<\/h2>

ThinkPHP 5漏洞分析之SQL注入(一)<\/a><\/li>
<\/ul>
该漏洞展示了框架设计中对用户输入处理的重要性，特别是在ORM操作中应严格避免直接拼接用户输入到SQL语句中。<\/p>

ThinkPHP 5.0 SQL注入漏洞详细分析<\/h1>

漏洞详细分析<\/h2>

2. 数据库操作阶段<\/h3> 进入db('users')->insert(['username' => $username])<\/code>：<\/p>

参考链接<\/h2> ThinkPHP 5漏洞分析之SQL注入(一)<\/a><\/li> <\/ul> 该漏洞展示了框架设计中对用户输入处理的重要性，特别是在ORM操作中应严格避免直接拼接用户输入到SQL语句中。<\/p>

2. 数据库操作阶段<\/h3>
进入`db('users')->insert(['username' => $username])<\/code>：<\/p>`

参考链接<\/h2>

ThinkPHP 5漏洞分析之SQL注入(一)<\/a><\/li> <\/ul>
该漏洞展示了框架设计中对用户输入处理的重要性，特别是在ORM操作中应严格避免直接拼接用户输入到SQL语句中。<\/p>