ThinkPHP3 二次开发程序安全审计报告<\/h1>

1. 概述<\/h2>
本文档对某ThinkPHP3二次开发程序进行了详细的安全审计，发现了多个高危漏洞，包括任意文件上传和SQL注入漏洞。审计过程涵盖了漏洞发现、分析、验证和利用的全过程。<\/p>

2. 环境准备<\/h2>

2.1 源码安装<\/h3>

创建数据库<\/li>
导入数据库文件<\/li>

更改数据库配置文件<\/li> <\/ol>

3. 漏洞分析<\/h2>

3.1 后门文件发现<\/h3>

初步扫描发现以下可疑文件：<\/p>

大马后门：da.php<\/code><\/li>

多个图片马后门<\/li>
<\/ul>
3.2 任意文件上传漏洞<\/h3>
3.2.1 漏洞位置<\/h4>
handle_file_upload<\/code> 方法<\/p>
3.2.2 漏洞分析<\/h4>


方法参数<\/strong>：该方法有7个参数<\/p>
<\/li>

文件处理流程<\/strong>：<\/p>

创建空对象：$file = new \stdClass()<\/code><\/li>
调用get_file_name<\/code>方法处理文件名<\/li>
调用trim_file_name<\/code>方法进一步处理<\/li>
<\/ul>
<\/li>

文件名处理细节<\/strong>：<\/p>

trim_file_name<\/code>方法：

去除反斜杠<\/li>
使用basename<\/code>获取文件名<\/li>
使用trim<\/code>去除特殊字符<\/li>
生成基于时间的文件名（将.<\/code>替换为-<\/code>）<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

文件上传流程<\/strong>：<\/p>

调用get_unique_filename<\/code>确保文件名唯一<\/li>
调用fix_integer_overflow<\/code>检查文件大小<\/li>
调用get_upload_path<\/code>获取上传路径<\/li>
直接使用move_uploaded_file<\/code>移动文件<\/li>
<\/ul>
<\/li>

关键问题<\/strong>：<\/p>

无文件类型检查<\/li>
无后缀名过滤<\/li>
<\/ul>
<\/li>
<\/ol>
3.2.3 漏洞利用<\/h4>
构造HTML表单上传恶意文件：<\/p>
<!DOCTYPE html><\/span>
<\/span><\/span><html<\/span> lang<\/span>=<\/span>"en"<\/span>>
<\/span><\/span><head<\/span>>
<\/span><\/span>    <meta<\/span> charset<\/span>=<\/span>"UTF-8"<\/span>>
<\/span><\/span>    <title<\/span>>Title<\/title<\/span>>
<\/span><\/span><\/head<\/span>>
<\/span><\/span><body<\/span>>
<\/span><\/span><form<\/span> enctype<\/span>=<\/span>"multipart\/form-data"<\/span> 
<\/span><\/span>      action<\/span>=<\/span>"http:\/\/127.0.0.1\/Public\/Inner\/Js\/uploader\/server\/php\/index.php"<\/span> 
<\/span><\/span>      method<\/span>=<\/span>"post"<\/span>>
<\/span><\/span>    <input<\/span> type<\/span>=<\/span>"file"<\/span> name<\/span>=<\/span>"files"<\/span>\/>
<\/span><\/span>    <input<\/span> type<\/span>=<\/span>"submit"<\/span> value<\/span>=<\/span>"submit"<\/span>\/>
<\/span><\/span><\/form<\/span>>
<\/span><\/span><\/body<\/span>>
<\/span><\/span><\/html<\/span>>
<\/span><\/span><\/code><\/pre>上传成功后会返回文件路径，可直接获取Webshell。<\/p>
3.3 SQL注入漏洞<\/h3>
3.3.1 漏洞位置<\/h4>
IndexController.class.php<\/code>中的login<\/code>方法<\/p>
3.3.2 漏洞分析<\/h4>


输入处理<\/strong>：<\/p>

使用TP3的I<\/code>方法获取name<\/code>和pwd<\/code>参数<\/li>
直接拼接参数到SQL条件中<\/li>
<\/ul>
<\/li>

数据库操作<\/strong>：<\/p>

实例化User模型<\/li>
使用field<\/code>获取全部字段<\/li>
使用where<\/code>构建条件表达式<\/li>
使用find<\/code>执行查询<\/li>
<\/ul>
<\/li>

关键问题<\/strong>：<\/p>

无全局过滤<\/li>
输入参数直接拼接到SQL语句<\/li>
<\/ul>
<\/li>
<\/ol>
3.3.3 漏洞验证<\/h4>
使用SQLMap验证注入点：<\/p>
POST \/index.php?a=login&c=Index&m=Index HTTP\/1.1
Content-Type: application\/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http:\/\/192.168.7.154\/
Cookie: PHPSESSID=pqim3lngnotf1p4sj15qurnef0
Content-Length: 97
Host: 192.168.7.154

device=0&name=*&pwd=d41d8cd98f00b204e9800998ecf8427e
<\/code><\/pre>
4. 修复建议<\/h2>
4.1 任意文件上传漏洞修复<\/h3>

添加文件类型白名单检查<\/li>
限制可上传文件扩展名<\/li>
对上传文件进行重命名<\/li>
设置文件大小限制<\/li>
将上传目录设置为不可执行<\/li>
<\/ol>
4.2 SQL注入漏洞修复<\/h3>

使用预处理语句<\/li>
对输入参数进行过滤<\/li>
启用TP3的全局过滤机制<\/li>
使用参数绑定方式构建查询<\/li>
<\/ol>
5. 总结<\/h2>
本次审计发现了两个高危漏洞，反映了开发过程中安全意识的不足。建议开发团队：<\/p>

加强输入验证<\/li>
实施最小权限原则<\/li>
定期进行代码审计<\/li>
建立安全开发规范<\/li>
<\/ol>
附录：漏洞验证截图<\/h2>
（此处可添加漏洞验证成功的截图）<\/p>

ThinkPHP3 二次开发程序安全审计报告<\/h1>

1. 概述<\/h2>
本文档对某ThinkPHP3二次开发程序进行了详细的安全审计，发现了多个高危漏洞，包括任意文件上传和SQL注入漏洞。审计过程涵盖了漏洞发现、分析、验证和利用的全过程。<\/p>

2. 环境准备<\/h2>

3. 漏洞分析<\/h2>

3.2 任意文件上传漏洞<\/h3>

3.2.1 漏洞位置<\/h4>
`handle_file_upload<\/code> 方法<\/p>`

3.3 SQL注入漏洞<\/h3>

3.3.1 漏洞位置<\/h4>
`IndexController.class.php<\/code>中的login<\/code>方法<\/p>`

4. 修复建议<\/h2>

附录：漏洞验证截图<\/h2>
（此处可添加漏洞验证成功的截图）<\/p>

ThinkPHP3 二次开发程序安全审计报告<\/h1>

1. 概述<\/h2> 本文档对某ThinkPHP3二次开发程序进行了详细的安全审计，发现了多个高危漏洞，包括任意文件上传和SQL注入漏洞。审计过程涵盖了漏洞发现、分析、验证和利用的全过程。<\/p>

2. 环境准备<\/h2>

3. 漏洞分析<\/h2>

3.2 任意文件上传漏洞<\/h3>

3.2.1 漏洞位置<\/h4> handle_file_upload<\/code> 方法<\/p>

3.3 SQL注入漏洞<\/h3>

3.3.1 漏洞位置<\/h4> IndexController.class.php<\/code>中的login<\/code>方法<\/p>

4. 修复建议<\/h2>

附录：漏洞验证截图<\/h2> （此处可添加漏洞验证成功的截图）<\/p>

1. 概述<\/h2>
本文档对某ThinkPHP3二次开发程序进行了详细的安全审计，发现了多个高危漏洞，包括任意文件上传和SQL注入漏洞。审计过程涵盖了漏洞发现、分析、验证和利用的全过程。<\/p>

3.2.1 漏洞位置<\/h4>
`handle_file_upload<\/code> 方法<\/p>`

3.3.1 漏洞位置<\/h4>
`IndexController.class.php<\/code>中的login<\/code>方法<\/p>`

附录：漏洞验证截图<\/h2>
（此处可添加漏洞验证成功的截图）<\/p>