8PHP代码审计——thinkphp3.2.3框架信息泄露

环境：

thinkphp_3.2.3_full

php5.6.27以上

下载thinkphp3.2.2解压到http://www.tptest.com/网站的根目录下并访问网址，如果出现以下页面，说明安装成功：

找到目录tptest.com\Application\Common\Conf\config.php配置数据库，开启调试，这里只需配置前6项即可，其它均使用默认配置

return array(/* 数据库设置 */&＃39;DB_TYPE&＃39; => &＃39;mysql&＃39;, // 数据库类型&＃39;DB_HOST&＃39; => &＃39;127.0.0.1&＃39;, // 服务器地址&＃39;DB_NAME&＃39; => &＃39;thinkphp32&＃39;, // 数据库名&＃39;DB_USER&＃39; => &＃39;root&＃39;, // 用户名&＃39;DB_PWD&＃39; => &＃39;123456&＃39;, // 密码&＃39;DB_PORT&＃39; => &＃39;3306&＃39;, // 端口&＃39;DB_PREFIX&＃39; => &＃39;&＃39;, // 数据库表前缀&＃39;DB_PARAMS&＃39; => array(), // 数据库连接参数&＃39;DB_DEBUG&＃39; => TRUE, // 数据库调试模式 开启后可以记录SQL日志&＃39;DB_FIELDS_CACHE&＃39; => true, // 启用字段缓存&＃39;DB_CHARSET&＃39; => &＃39;utf8&＃39;, // 数据库编码默认采用utf8&＃39;DB_DEPLOY_TYPE&＃39; => 0, // 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)&＃39;DB_RW_SEPARATE&＃39; => false, // 数据库读写是否分离 主从式有效&＃39;DB_MASTER_NUM&＃39; => 1, // 读写分离后 主服务器数量&＃39;DB_SLAVE_NO&＃39; => &＃39;&＃39;, // 指定从服务器序号&＃39;SHOW_PAGE_TRACE&＃39;=>true,
);

然后访问网址，如果出现以下页面说明配置完成

thinkphp3.2.2日志文件信息泄露

thinkphp在开启DEBUG调试情况下会在\Application\Runtime\Logs\Home目录下生成日志，在浏览器地址栏中输入路径可以直接访问读取日志文件，输入路径造成目录遍历。

ThinkPHP3.2日志文件路径：Application\Runtime\Logs\Home\17_07_22.log

ThinkPHP3.1日志文件路径：Runtime\Logs\Home\17_07_22.log

可以看到thinkphp的日志文件的格式为：项目名\Runtime\Logs\Home\年份_月份_日期.log，这样容易导致日志文件很容易被猜解到，并且日志里面有执行SQL语句的记录，会导致数据库的相关信息泄露。

通常建议开发阶段开启debug，部署阶段把index.php中的debug模式关闭掉：

define(&＃39;APP_DEBUG&＃39;,false);

thinkphp缓存信息泄露

thinkphp提供了方便的缓存方式，包括数据缓存、静态缓存和查询缓存等，主要提供了两个函数进行数据缓存：F函数和S函数，F函数设置缓存数据后没有缓存时间限制，而S函数则可以设置缓存时间。

例如在index.php中通过F函数插入一段代码，访问http://www.tptest.com/网址后，默认会在Application\Runtime\Data目录下生成一个data.php文件

并且data.php文件中的php代码是可以执行的，假设thinkphp中的F函数是可控的，那么攻击者很可能会插入一段恶意的代码向网站写入shell等等，F函数是一个非常危险的函数，需谨慎使用。

在没有设置缓存路径的情况下，F函数缓存的数据默认是在data目录下，S函数默认是在temp目录。

如果使用S函数进行文件方式的缓存机制，那么可以设置DATA_CACHE_KEY参数，避免缓存文件名被猜测到，只需在config.php文件中最下面添加一行配置，例如：&＃39;DATA_CACHE_KEY&＃39;=>&＃39;think&＃39;

在index.php中执行S函数，刷新网页，在temp目录下会生成一个md5加密的文件，解密后就是data.php文件了。

F函数和S函数的功能非常强大，但也非常危险，在开发中应尽量避免使用数据缓存函数。