ThinkPHP 框架SQL注入技术分析(文末有彩蛋)
4月12号,ThinkPHP官方团队发布“ThinkPHP5.0.17&5.1.9版本发布——包含安全更新”通知,提醒用户第一时间更新框架版本,在这次更新中,包含了由360企业安全集团代码卫士团队报送的一个高危安全漏洞。本文针对该漏洞的技术细节进行分析。
简要描述
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生的12年间一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。目前ThinkPHP框架是国内使用量最大的框架之一,国内用户量众多。近日,360企业安全集团代码卫士团队安全研究人员发现该框架V5.1.7-V5.1.8 版本在底层数据处理驱动解析数据的时候存在缺陷,一定场景下,攻击者可以通过构造恶意数据包利用SQL注入的方式获取用户数据库内容。360企业安全集团代码卫士团队已第一时间和ThinkPHP团队进行沟通修复,建议相关用户及时更新官方发布的新版本。
漏洞分析
注:该漏洞ThinkPHP官方团队在报送当天(2018-04-06)紧急进行了修复处理,详细请参考:https://github.com/top-think/framework/commit/39bb0fe6d50ee77e0779f646b10bce08c442a5e3
以下漏洞分析基于ThinkPHP V5.1.8(2018-04-05未更新版)
这里我们主要跟进分析执行update操作的过程。为了方便理解,先直接放出函数的调用栈。
Mysql.php:200, think\db\builder\Mysql->parseArrayData()Builder.php:147, think\db\Builder->parseData()Builder.php:1139, think\db\Builder->update()Connection.php:1149, think\db\Connection->update()Query.php:2571, think\db\Query->update()Index.php:18, app\index\controller\Index->testsql()Container.php:285, ReflectionMethod->invokeArgs()Container.php:285, think\Container->invokeReflectMethod()Module.php:139, think\route\dispatch\Module->run()Url.php:31, think\route\dispatch\Url->run()App.php:378, think\App->think\{closure}()Middleware.php:119, call_user_func_array:{C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:119}()Middleware.php:119, think\Middleware->think\{closure}()Middleware.php:74, call_user_func:{C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:74}()Middleware.php:74, think\Middleware->dispatch()App.php:399, think\App->run()index.php:21, {main}()
缺陷关键点为thinkphp解析用户传递过来的Data可控,且可以绕过安全检查。
根据文件 Connection.php:1149,think\db\Connection->update()第1102行update函数分析,这个函数的主要功能是用于执行update SQL语句。
//Connection.php:1149, think\db\Connection->update()public function update(Query $query){$options = $query->getOptions();if (isset($options['cache']) && is_string($options['cache']['key'])) {$key = $options['cache']['key'];}$pk = $query->getPk($options);$data = $options['data'];if (empty($options['where'])) {// 如果存在主键数据 则自动作为更新条件if (is_string($pk) && isset($data[$pk])) {$where[$pk] = [$pk, '=', $data[$pk]];if (!isset($key)) {$key = $this->getCacheKey($query, $data[$pk]);}unset($data[$pk]);} elseif (is_array($pk)) {// 增加复合主键支持foreach ($pk as $field) {if (isset($data[$field])) {$where[$field] = [$field, '=', $data[$field]];} else {// 如果缺少复合主键数据则不执行throw new Exception('miss complex primary data');}unset($data[$field]);}}if (!isset($where)) {// 如果没有任何更新条件则不执行throw new Exception('miss update condition');} else {$options['where']['AND'] = $where;$query->setOption('where', ['AND' => $where]);}} elseif (!isset($key) && is_string($pk) && isset($options['where']['AND'][$pk])) {$key = $this->getCacheKey($query, $options['where']['AND'][$pk]);}// 更新数据$query->setOption('data', $data);// 生成UPDATE SQL语句$sql = $this->builder->update($query);$bind = $query->getBind();if (!empty($options['fetch_sql'])) {// 获取实际执行的SQL语句return $this->getRealSql($sql, $bind);}// 检测缓存$cache = Container::get('cache');if (isset($key) && $cache->get($key)) {// 删除缓存$cache->rm($key);} elseif (!empty($options['cache']['tag'])) {$cache->clear($options['cache']['tag']);}// 执行操作$result = '' == $sql ? 0 : $this->execute($sql, $bind);if ($result) {if (is_string($pk) && isset($where[$pk])) {$data[$pk] = $where[$pk];} elseif (is_string($pk) && isset($key) && strpos($key, '|')) {list($a, $val) = explode('|', $key);$data[$pk] = $val;}$query->setOption('data', $data);$query->trigger('after_update');}return $result;}
第1146行, $query->setOption('data',$data);这里将用户传递的 $dataset到 $query变量中,为下一步的生成 UPDATE SQL语句做准备,执行 $sql=$this->builder->update($query);语句,重点马上要来了,跟进 Builder.php:1139,think\db\Builder->update()函数
//Builder.php:1139, think\db\Builder->update()public function update(Query $query){$options = $query->getOptions();$table = $this->parseTable($query, $options['table']);$data = $this->parseData($query, $options['data']);if (empty($data)) {return '';}foreach ($data as $key => $val) {$set[] = $key . ' = ' . $val;}return str_replace(['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'],[$this->parseTable($query, $options['table']),implode(' , ', $set),$this->parseJoin($query, $options['join']),$this->parseWhere($query, $options['where']),$this->parseOrder($query, $options['order']),$this->parseLimit($query, $options['limit']),$this->parseLock($query, $options['lock']),$this->parseComment($query, $options['comment']),],$this->updateSql);}
刚刚我们将用户可控的 $dataset到 $query['options']中,这里我们先获取 $query['options']内容到 $options中,然后对Data进行解析 $data=$this->parseData($query,$options['data']);
//Builder.php:147, think\db\Builder->parseData()protected function parseData(Query $query, $data = [], $fields = [], $bind = [], $suffix = ''){if (empty($data)) {return [];}$options = $query->getOptions();// 获取绑定信息if (empty($bind)) {$bind = $this->connection->getFieldsBind($options['table']);}if (empty($fields)) {if ('*' == $options['field']) {$fields = array_keys($bind);} else {$fields = $options['field'];}}$result = [];foreach ($data as $key => $val) {$item = $this->parseKey($query, $key);if ($val instanceof Expression) {$result[$item] = $val->getValue();continue;} elseif (!is_scalar($val) && (in_array($key, (array) $query->getOptions('json')) || 'json' == $this->connection->getFieldsType($options['table'], $key))) {$val = json_encode($val);} elseif (is_object($val) && method_exists($val, '__toString')) {// 对象数据写入$val = $val->__toString();}if (false !== strpos($key, '->')) {list($key, $name) = explode('->', $key);$item = $this->parseKey($query, $key);$result[$item] = 'json_set(' . $item . ', \'$.' . $name . '\', ' . $this->parseDataBind($query, $key, $val, $bind, $suffix) . ')';} elseif (false === strpos($key, '.') && !in_array($key, $fields, true)) {if ($options['strict']) {throw new Exception('fields not exists:[' . $key . ']');}} elseif (is_null($val)) {$result[$item] = 'NULL';} elseif (is_array($val) && !empty($val)) {switch ($val[0]) {case 'INC':$result[$item] = $item . ' + ' . floatval($val[1]);break;case 'DEC':$result[$item] = $item . ' - ' . floatval($val[1]);break;default:$value = $this->parseArrayData($query, $val);if ($value) {$result[$item] = $value;}}} elseif (is_scalar($val)) {// 过滤非标量数据$result[$item] = $this->parseDataBind($query, $key, $val, $bind, $suffix);}}return $result;}
在第115行,通过 foreach($dataas$key=>$val)处理 $data,然后解析 $key保存到 $item变量中去,之后执行下面的判断逻辑,想要合理地进入各个判断分支,就要巧妙的构造 $key和 $value也就是 $data的值。紧接着我们进入漏洞触发点 $value=$this->parseArrayData($query,$val);,跟进函数 $value=$this->parseArrayData($query,$val);
//Mysql.php:200, think\db\builder\Mysql->parseArrayData()protected function parseArrayData(Query $query, $data){list($type, $value) = $data;switch (strtolower($type)) {case 'point':$fun = isset($data[2]) ? $data[2] : 'GeomFromText';$point = isset($data[3]) ? $data[3] : 'POINT';if (is_array($value)) {$value = implode(' ', $value);}$result = $fun . '(\'' . $point . '(' . $value . ')\')';//需要简单的构造一下sql语句break;default:$result = false;}return $result;}
这里 $type、 $value和 $data均为可控值,那么函数返回的 $result也就是可控的。回到上一个 Builder.php文件中,将返回的结果赋值到 $result[$item]=$value;中,之后的生成SQL语句和常见的流程没有任何差别不再展开具体分析。
验证截图
修复建议
更新受影响ThinkPHP版本到5.1.9或5.0.17版本以上
关于我们
360代码安全实验室是360企业安全集团旗下专门从事源代码、二进制漏洞挖掘和分析的研究团队,主要研究方向包括:Windows/Linux/MacOS操作系统、应用软件、开源软件、网络设备、IoT设备等。团队成员既有二进制漏洞挖掘高手,微软全球TOP100贡献白帽子,Pwn2own2017冠军队员,又有开源软件安全大拿,人工智能安全专家。实验室安全团队的研究成果获得微软、Adobe、各种开源组织等的50多次致谢。
参考
ThinkPHP5.0.17&5.1.9版本发布——包含安全更新
(http://www.thinkphp.cn/topic/55757.html)
【彩蛋】
如果你:
对从事漏洞研究工作充满热情
熟悉操作系统原理,熟悉反汇编,逆向分析能力较强
了解常见编程语言,具有一定的代码阅读能力
熟悉Fuzzing技术及常见漏洞挖掘工具
挖掘过系统软件、网络设备等漏洞者(有cve编号)优先
具有漏洞挖掘工具开发经验者优先
那么,你将得到:
白花花的银子——月薪20K-60K+年底双薪+项目奖,优秀者还有股票期权哦
暖心的福利——六险一金+各种补贴+下午茶+节假日礼品
重点重点重点——志同道合、暖心的我们
心动不如行动!无论你是经验丰富的大咖儿,还是志向从事安全研究的菜鸟儿,不要犹豫!
赶紧把简历投到 liubenjin@360.net 吧!我会在3个工作日内找到你~
转载请注明 “转自360代码卫士www.codesafe.cn”。