ThinkPHP架构设计不合理极易导致SQL注入

没有上一个问题严重，但也是thinkphp设计上的隐患，提出来希望能修改，不过忽略了也没办法。
实际上这两个洞的意义不仅于此，这是框架流行的时代，注入的一个新思路。

这个问题其实应该从前段时间Th1nk发的mongodb注入说起，http://.../tips/3939，其中提到了mongodb一种注入方式：

然后parsec团队里前段时间也在讨论这个问题，究竟这个漏洞是php的特性，还是mongodb的特性。后来0x_jin发了一个精华： http://wooyun.org/bugs/wooyun-2010-086474 ，也从侧面印证了一个问题，这个特性（获得的GP可以是字符串也可以是数组）不仅仅是PHP存在，只要框架支持，那么就可以存在。

当然我这个洞是PHP的洞，但实际上问题出在thinkphp框架上。

问题还是在“表达式查询”这里：http://doc.thinkphp.cn/manual/query.html

在文档里看到，我们居然可以控制查询表达式的符号：

这个设计和mongodb的就很类似，很可能造成安全问题，比如万能密码。

写个例子证明：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

public function test()
    {
        if (IS_POST) {
            $uname = I('post.uname', '', 'trim');
            $upass = I('post.upass', '', 'trim');
            $remember = I('post.remember');
            if (empty($uname) || empty($upass)) {
                $this->error('用户名或密码不能为空');
            }
            $row = M('user')->where(array(
                'uname' => $uname,
                'passwd' => $upass
            ))->find();
            if (empty($row)) {
                echo 0;
            }else{
                echo 1;
            }

        }
    }

这是控制器里的一个登录函数，如果账号/密码输入正确则输出1，否则输出0.

很普通的一个逻辑，也是经常出现在各种应用中前/后台登录的方式。

正常情况下，随便输入一个账号/密码是肯定错误的，输出0：

我们将uname[0]设置为neq，也就是“不等于”，upass[0]也设置为neq，1随意：

果然已经注入成功了，我们看看数据库语句究竟是什么：

实际上我们控制了操作符，所以让uname<>aaaa，upass<>bbbb，那么这句话肯定成立，就此造成了一个万能密码，成功登录。

具体实例可能需要慢慢找，因为一般password会进行md5，导致我们传入数组是不行的。但这个思路可以引申到所有使用where语句的地方。