weiphp5.0 CMS Exp表达式注入漏洞详解及修复

在本文档中，我们讨论了Weiphp 5.0 CMS中的一个安全漏洞——exp表达式注入问题。这个漏洞存在于Weiphp CMS的某个版本中，与Thinkphp 3.2.3的exp注入类似，主要涉及到`bind_follow`功能模块。攻击者利用了`uid`参数的处理方式，通过构造恶意的`exp`表达式来执行SQL注入攻击。 首先，文档提供了一个示例URL（`http://php.local/public/index.php/home/index/bind_follow/?publicid=1&is_ajax=1&uid[0]=exp&uid[1]=)andupdatexml(1,concat(0x7e,user(),0x7e),1)--+`），其中可以看到`uid`参数被设计为`exp`形式，这表明系统可能尝试解析该参数作为某种查询条件。然而，由于`uid`直接通过`I()`函数获取，没有进行充分的安全检查，这为注入提供了可乘之机。 `I()`函数简化了输入数据的处理，它接收用户提供的参数，并可能直接用于数据库查询。攻击者利用了这一点，构造了包含SQL代码的`exp`值，如`Db::raw($value[2])`，使得服务器执行了非预期的SQL命令，可能导致数据泄露或恶意操作。 `wp_where()`函数进一步处理这些条件，对`$field`数组进行遍历。如果检测到`exp`关键字且其后紧跟的值不是对象，函数会将其转换为原始SQL字符串（`Db::raw()`）。这种处理方式使得攻击者可以利用`exp`作为关键字，绕过常规的输入验证，执行SQL注入攻击。 文档还提到了其他多个模块可能存在同样的问题，这意味着整个系统可能存在广泛的安全隐患，需要开发者及时修复这一漏洞，例如在`app\home\controller\Index`下的`bind_follow`方法。 这篇文档关注的是Weiphp 5.0 CMS中由于`exp`表达式注入漏洞导致的潜在风险，强调了对用户输入数据的有效验证和安全处理的重要性，特别是对于那些可能导致SQL执行的特殊字符串。开发团队和安全审计人员应该密切关注并采取相应的修复措施，以保护系统免受此类攻击。