ThinkPHP架构设计不合理极易导致SQL注入

没有上一个问题严重,但也是thinkphp设计上的隐患,提出来希望能修改,不过忽略了也没办法。
实际上这两个洞的意义不仅于此,这是框架流行的时代,注入的一个新思路。

这个问题其实应该从前段时间Th1nk发的mongodb注入说起,http://.../tips/3939,其中提到了mongodb一种注入方式:

05.jpg

然后parsec团队里前段时间也在讨论这个问题,究竟这个漏洞是php的特性,还是mongodb的特性。后来0x_jin发了一个精华: http://wooyun.org/bugs/wooyun-2010-086474 ,也从侧面印证了一个问题,这个特性(获得的GP可以是字符串也可以是数组)不仅仅是PHP存在,只要框架支持,那么就可以存在。

当然我这个洞是PHP的洞,但实际上问题出在thinkphp框架上。

问题还是在“表达式查询”这里:http://doc.thinkphp.cn/manual/query.html

在文档里看到,我们居然可以控制查询表达式的符号:

04.jpg

这个设计和mongodb的就很类似,很可能造成安全问题,比如万能密码。

写个例子证明:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
public function test()
{
if (IS_POST) {
$uname = I('post.uname', '', 'trim');
$upass = I('post.upass', '', 'trim');
$remember = I('post.remember');
if (empty($uname) || empty($upass)) {
$this->error('用户名或密码不能为空');
}
$row = M('user')->where(array(
'uname' => $uname,
'passwd' => $upass
))->find();
if (empty($row)) {
echo 0;
}else{
echo 1;
}

}
}

这是控制器里的一个登录函数,如果账号/密码输入正确则输出1,否则输出0.

很普通的一个逻辑,也是经常出现在各种应用中前/后台登录的方式。

正常情况下,随便输入一个账号/密码是肯定错误的,输出0:

06.jpg

我们将uname[0]设置为neq,也就是“不等于”,upass[0]也设置为neq,1随意:

07.jpg

果然已经注入成功了,我们看看数据库语句究竟是什么:

08.jpg

实际上我们控制了操作符,所以让uname<>aaaa,upass<>bbbb,那么这句话肯定成立,就此造成了一个万能密码,成功登录。

具体实例可能需要慢慢找,因为一般password会进行md5,导致我们传入数组是不行的。但这个思路可以引申到所有使用where语句的地方。