天融信關於ThinkPHP 5.1.x SQL注入漏洞分析
一、背景介紹
PHP/">ThinkPHP 是一個快速、簡單的基於 MVC 和麵向物件的輕量級 PHP 開發框架,遵循 Apache2 開源協議釋出。ThinkPHP從誕生以來一直秉承簡潔實用的設計原則,在保持出色的效能和至簡的程式碼的同時,也注重開發體驗和易用性,為 WEB 應用和 API 開發提供了強有力的支援。
在近期,ThinkPHP 框架被曝出存在SQL%E6%B3%A8%E5%85%A5/">SQL注入漏洞。由於SQL注入漏洞的危害性以及該框架應用十分廣泛。 對此,天融信阿爾法實驗室以靜態和動態兩種方式對該漏洞進行了深入分析。
1.1 漏洞描述
在ThinkPHP5.1.23之前的版本中存在SQL注入漏洞,該漏洞是由於程式在處理order by 後的引數時,未正確過濾處理陣列的key值所造成。如果該引數使用者可控,且當傳遞的資料為陣列時,會導致漏洞的產生。
1.2 受影響的系統版本
ThinkPHP < 5.1.23
1.3 漏洞編號
CVE-2018-16385
二、環境搭建
1.下載安裝thinkphp5.1.x
對於thinkphp5.1.x完整版,目前官方沒有直接下載的連結。Github上只是放出核心版。該版本需要以Composer/">Composer或Git方式進行安裝。
這裡以Composer安裝方式說明。
curl -sS ofollow,noindex" target="_blank">https://getcomposer.org/installer | php
mv composer.phar/usr/local/bin/composer
在 Windows 中,你需要下載並執行 Composer-Setup.exe 。
安裝好之後,切換路徑到WEB目錄下執行:
composercreate-project topthink/think=5.1.1 tp5.1 --prefer-dist
然後會生成一個名為tp5.1的資料夾。到此think5.1.1下載成功。
2.然後在瀏覽器中訪問
如果出現該頁面,則證明安裝成功。
3.Demo示例
編寫Demo檔案,並將檔案命名為Test.php,然後放在/tp5.1/application/index/controller/目錄下。
4.資料庫
與Demo檔案匹配,需要建立一個user表,然後設一個欄位(id)。
三、漏洞細節
在/thinkphp/library/think/db/Builder.php parseOrder()的函式中:
通過Demo傳入order引數內容,當傳入的$order是一個數組時,foreach函式將$order陣列分為key和value形式。
根據漏洞修復補丁,知道漏洞發生在parseOrderField()函式中。
當$val為陣列時,會進入parseOrderField()函式。
跟蹤parseOrderField()函式
getOptions()函式是獲取了當前要查詢的引數,getFieldsBind()函式是獲取資料表繫結資訊,foreach迴圈是對$val值進行了處理,這裡其實不是重點,就提一下。$val值是什麼不用管,因為注入點在$key上,而$val 拼接在$key後面,可以在構造$key加#註釋掉$val。
重點是parseKey()函式,跟蹤parseKey()函式。
這裡對傳入的$key進行多重判斷以及處理。
1. is_numeric判斷,如果是數字,則返回,不是的話繼續向下執行。
2. 判斷$key是否屬於Expression類。
3. strpos($key, ‘->’) && false ===strpos($key, ‘(‘) 。
4. (‘*’ != $key && ($strict ||!preg_match(‘/[,\'\"\*\(\)`.\s]/’, $key)))。
因為$key是我們的sql注入語句,所以1.2.3肯定不滿足,而4滿足。
所以此時的$key會在左右兩側加個 ` 號。
$table不存在,不會對$key修改,所以加 ` 號後會返回$key,然後和$val以及field字串進行拼接,再然後return賦值給array變數,緊接著,array與order by 字串進行拼接形成order by查詢語句,最終系統呼叫query()函式進行資料庫查詢,觸發漏洞。
著重說明一下,這裡由於field函式,漏洞利用有兩個關鍵點:
首先解釋下field()函式:MySQL中的field()函式作用是對SQL中查詢結果集進行指定順序排序。一般與order by 一起使用。
關鍵點1:
field()函式必須指定大於等於兩個欄位才可以正常執行,否則就會報錯。
當表中只有一個欄位時,我們可以隨意指定一個數字或字串的引數。
關鍵點2:
當field中的引數不是字串或數字時,指定的引數必須是正確的表字段,否則程式就會報錯。這裡由於程式會在第一個欄位中加 “ 限制 ,所以必須指定正確的欄位名稱。第二個欄位沒有限制,可以指定字串或數字。
所以,我們要利用該漏洞,第一我們至少需要知道表中的一個欄位名稱,第二向field()函式中中傳入兩個欄位。第二個欄位不需要知道欄位名,用數字或字串繞過即可。
Payload構造
根據以上分析,構造payload需要滿足以下條件:
1.傳入的$order需要是一個數組。
2.$val 必須也是陣列。
3.至少知道資料庫表中的一個欄位名稱,並且傳入兩個引數。
4.閉合 ` 。
最終Payload構造如下:
http://127.0.0.1/tp5.1/public/index/test/index?order[id`,111)|updatexml(1,concat(0x3a,user()),1)%23][]=1
或
http://127.0.0.1/tp5.1/public/index/test/index?order[id`,'aaa')| updatexml(1,concat(0x3a,user()),1)%23][]=1
四、動態除錯分析
有時候單單靜態分析,很難知道某些函式做了些什麼,而對於程式執行過程,也很難理解透徹。而利用動態分析,一步一步debug,就很容易理解清楚。
這裡我們利用上面構造的payload進行debug。
首先下斷點:
$val是個陣列,進入parseOrderField()函式。F7下一步(我這裡用的是phpstorm,F7是單步除錯的意思)。
foreach迴圈後,可以看到只是處理了$val,並沒有涉及$key(我們的關注點在$key)。$val 的值是在$key的基礎上加了個:data__字首,後面加了個0。
繼續F7,進入了parseKey()函式。
到這裡,看到$key滿足if條件,然後兩邊加了個 ` 號。
最後返回的$key。其實就是兩邊加了個 ` 號 。
最後,返回給array變數的值為file字串和$key以及$val的拼接。
繼續F7,看看接下來程式怎麼走。
進行了limit分析,union分析等多個分析處理,最終來到了removeoption()函式。
可以看到這裡的$sql,已經可以觸發注入漏洞。
然後經過了中間的幾個過程,對比上圖,並沒有改變sql語句內容。最後sql語句,進入query()函式執行了SQL語句,成功觸發注入漏洞。
五、修復建議
官方補丁
目前官方已經更新補丁,請受影響的使用者儘快升級到ThinkPHP5.1.24版本。
手工修復
根據官方給出的方案進行程式碼修改。
https://github.com/top-think/framework/commit/f0f9fc71b8b3716bd2abdf9518bcdf1897bb776
*本文作者:alphalab,轉載請註明來自FreeBuf.COM