代码审计与漏洞复现教学文档<\/h1>

CNVD-2025-21335 SQL注入漏洞分析<\/h2>

1. 漏洞信息概览<\/h3>

漏洞编号<\/strong>：CNVD-2025-21335<\/li>
漏洞类型<\/strong>：SQL注入 (SQL Injection)<\/li>
漏洞等级<\/strong>：高危<\/li>
受影响版本<\/strong>：某CMS（具体名称在源链接中被模糊化处理）1.24版本之前<\/li>
漏洞文件<\/strong>：\/app\/admin\/controller\/Images.php<\/code><\/li>
漏洞函数<\/strong>：batchCope<\/code> 方法<\/li>

利用条件<\/strong>：需要获取后台管理员权限（可获得后台登录凭证）<\/li> <\/ul> 2. 漏洞原理深度分析<\/h3> 2.1 漏洞代码定位<\/h4> 漏洞存在于后台管理模块的图片控制器(Images.php<\/code>)中的batchCope<\/code>方法。该方法的目的是实现一个“批量复制”图片的功能。<\/p> 2.2 漏洞代码详解<\/h4> 核心问题在于对用户输入的参数未经过任何安全过滤和校验，直接拼接至SQL语句中。<\/p> 有问题的代码逻辑（伪代码表示）:<\/strong><\/p> public<\/span> function<\/span> batchCope<\/span>() { <\/span><\/span> \/\/ 直接从POST请求中获取'ids'参数，未做任何过滤（如：intval转换、正则匹配、预处理） <\/span><\/span><\/span><\/span> $ids =<\/span> $_POST['ids'<\/span>]; <\/span><\/span> <\/span><\/span> \/\/ 假设从请求中获取了其他字段，如'fields' <\/span><\/span><\/span><\/span> $fields =<\/span> $_POST['fields'<\/span>]; <\/span><\/span> <\/span><\/span> \/\/ 直接进行字符串拼接，构建SQL语句 <\/span><\/span><\/span><\/span> $sql =<\/span> "INSERT INTO fox_images ("<\/span> .<\/span> $fields .<\/span> ") <\/span><\/span><\/span> SELECT "<\/span> .<\/span> $fields .<\/span> " <\/span><\/span><\/span> FROM fox_images <\/span><\/span><\/span> WHERE id in ("<\/span> .<\/span> $ids .<\/span> ")"<\/span>; \/\/ $ids 直接嵌入到IN子句中 <\/span><\/span><\/span><\/span> <\/span><\/span> \/\/ 执行该SQL语句 <\/span><\/span><\/span><\/span> $result =<\/span> db_query<\/span>($sql); <\/span><\/span> \/\/ ... 后续操作 ... <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>2.3 SQL语句结构与攻击面<\/h4> 生成的最终SQL语句形态如下：<\/p> INSERT<\/span> INTO<\/span> fox_images (field1, field2, ...) <\/span><\/span>SELECT<\/span> field1, field2, ... <\/span><\/span>FROM<\/span> fox_images <\/span><\/span>WHERE<\/span> id in<\/span> (恶意构造的$<\/span>ids参数<\/span>); <\/span><\/span><\/code><\/pre> 本意<\/strong>：从fox_images<\/code>表中查询出指定id<\/code>（通过$ids<\/code>提供）的记录，然后将这些记录的部分字段（通过$fields<\/code>指定）复制并插入到同一张表中，生成新记录。<\/li> 漏洞点<\/strong>：$ids<\/code>参数完全可控。攻击者可以提交非正常的ID值，而是一段恶意的SQL代码，这些代码会被直接拼接到IN<\/code>子句里执行。<\/li> <\/ul> 2.4 漏洞利用方式<\/h4> 由于$ids<\/code>被直接拼接，攻击者可以闭合原有的括号，并利用联合查询(UNION SELECT)、布尔盲注、时间盲注等技术进行数据库信息窃取。例如，正常请求ids=1,2,3<\/code>，而攻击者可构造ids=1) OR 1=1 UNION SELECT 1,user(),password,4 FROM admin_users -- -<\/code>，从而将插入操作转变为数据查询操作。<\/p> 3. 漏洞复现过程<\/h3> 3.1 环境搭建<\/h4> 获取环境<\/strong>：寻找并下载受影响的CMS版本（1.24之前）。若无法找到确切版本，可下载最新版本，并根据漏洞描述逆向定位到\/app\/admin\/controller\/Images.php<\/code>文件中的batchCope<\/code>方法，手动删除或回滚<\/strong>官方已实施的安全补丁代码（通常是对$ids<\/code>参数的过滤代码），以模拟漏洞环境。<\/li> 安装部署<\/strong>：按照该CMS的安装说明进行部署，确保能正常访问前台和后台。<\/li> 后台登录<\/strong>：使用已知的或默认的后台账户（如文档中提到的 admin \/ admin@123<\/code>）登录系统。此步骤是必要前提<\/strong>，因为漏洞存在于后台功能中。<\/li> <\/ol> 3.2 漏洞触发点寻找<\/h4> 登录后台后，根据代码路径\/app\/admin\/controller\/Images.php<\/code>可知，功能大概率与“图片管理”相关。<\/li> 在后台管理界面中寻找诸如“图片列表”、“管理图片”等功能的菜单项。<\/li> 在该功能页面中，寻找“复制”、“批量复制”等操作按钮或功能链接。其最终发起的请求URL应与\/admin\/images\/batchCope<\/code>类似。<\/li> <\/ol> 3.3 漏洞验证与利用<\/h4> 抓取请求<\/strong>：在图片管理页面，选择任意图片（或多个图片），点击“复制”或“批量复制”按钮，同时使用Burp Suite<\/strong>或浏览器开发者工具等抓包工具拦截该HTTP请求。<\/li> 分析请求<\/strong>：观察拦截到的POST请求，应会发现包含ids<\/code>参数（如ids=1<\/code>或ids=1,2,3<\/code>）。<\/li> 构造Payload<\/strong>：修改ids<\/code>参数，注入SQL测试Payload。简单测试<\/strong>：将ids<\/code>修改为 1) OR (1=1<\/code> 观察页面响应是否与正常时不同（如复制成功记录数异常增多）。或将ids<\/code>修改为 1) OR (1=2<\/code> 观察响应是否与正常不同（如复制成功记录数减少）。这可用于初步判断布尔盲注的可能性。<\/li> 联合查询注入<\/strong>：构造更复杂的Payload，利用UNION SELECT<\/code>提取数据库信息（需根据实际表结构调整字段数和查询语句）。 ids=1) UNION SELECT 1,version(),3,4,user() -- - <\/code><\/pre> <\/li> 时间盲注<\/strong>：如果页面无回显，可尝试时间盲注。 ids=1) AND (SELECT SLEEP(5)) -- - <\/code><\/pre> <\/li> <\/ul> <\/li> 执行验证<\/strong>：发送修改后的恶意请求，观察服务器的响应时间、返回内容或数据库状态变化，确认SQL注入漏洞是否存在并被成功利用。<\/li> <\/ol> 4. 修复建议<\/h3> 参数化查询（预处理语句）<\/strong>：这是根治SQL注入的最佳方法。修改代码，使用PDO或MySQLi扩展提供的预处理功能。 \/\/ PDO 示例 <\/span><\/span><\/span><\/span>$stmt =<\/span> $pdo-><\/span>prepare<\/span>("INSERT INTO fox_images (<\/span>$fields<\/span>) SELECT <\/span>$fields<\/span> FROM fox_images WHERE id in (:ids)"<\/span>); <\/span><\/span>$stmt-><\/span>execute<\/span>([':ids'<\/span> =><\/span> $ids]); <\/span><\/span>\/\/ 注意：$fields 如果是动态的，仍需安全处理（白名单校验） <\/span><\/span><\/span><\/code><\/pre><\/li> 严格输入过滤<\/strong>：如果无法使用预处理，则必须对输入进行严格的过滤和校验。对于$ids<\/code>：应强制其为逗号分隔的整数字符串。可以使用explode<\/code>分割后，对每个值进行intval<\/code>转换，再重新拼接。 $idArray =<\/span> explode<\/span>(','<\/span>, $_POST['ids'<\/span>]); <\/span><\/span>$safeIds =<\/span> array<\/span>(); <\/span><\/span>foreach<\/span> ($idArray as<\/span> $id) { <\/span><\/span> $safeIds[] =<\/span> intval<\/span>(trim<\/span>($id)); <\/span><\/span>} <\/span><\/span>$ids =<\/span> implode<\/span>(','<\/span>, $safeIds); \/\/ 现在 $ids 是安全的，如 "1,2,3" <\/span><\/span><\/span><\/code><\/pre><\/li> 对于$fields<\/code>：应采用白名单<\/strong>机制，只允许预定义的、安全的字段名列表，防止通过fields<\/code>参数进行注入。<\/li> <\/ul> <\/li> 最小权限原则<\/strong>：确保应用程序连接数据库的账户只拥有必要的权限（INSERT, SELECT on 特定表），避免使用root或高权限账户，以减轻漏洞被利用后的影响。<\/li> <\/ol> 5. 总结与思考<\/h3> CNVD-2025-21335是一个典型的后台SQL注入漏洞，其核心成因在于：<\/p> 信任用户输入<\/strong>：未对用户可控的参数ids<\/code>进行任何验证和过滤。<\/li> 字符串拼接SQL<\/strong>：直接使用字符串拼接方式构造SQL语句。<\/li> <\/ul> 审计技巧<\/strong>：<\/p> 在代码审计中，应重点关注所有与数据库交互的地方，特别是使用$_GET<\/code>, $_POST<\/code>, $_REQUEST<\/code>等超全局变量的地方。<\/li> 查找SELECT<\/code>, INSERT<\/code>, UPDATE<\/code>, DELETE<\/code>等SQL关键字，并追踪其变量的来源。<\/li> “批量操作”<\/strong>、“导出”<\/strong>、“排序”<\/strong> 等功能点是SQL注入的高发区，应作为审计重点。<\/li> <\/ul> 此漏洞复现过程清晰地展示了从漏洞信息收集、环境搭建、代码分析到实际利用的完整链条，是Web安全学习和代码审计的一个良好范例。<\/p>