漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

栏目: 编程工具 · 发布时间: 6年前

漏洞预警 | MetInfo最新版本爆出 <a href='https://www.codercto.com/topics/18630.html'>SQL</a> 注入漏洞

2018年10月初,白帽汇安全研究院监测到网络上出现了最新MetInfo的sql注入漏洞。该漏洞是由于攻击者可以绕过MetInfo的过滤sql注入恶意代码的函数,使得攻击者在前台就可以通过index.php页面的参数id进行SQL注入,并且直接获得管理员数据,接管整个CMS。
MetInfo是中国知名的企业建站软件,在中国的活跃使用量数以万计,一旦有高危漏洞爆出,势必会影响各行各业众多网站。而且此次爆出漏洞的版本是官网在9月26日所发布的最新版,预计会在下一次补丁出来之前对所有使用该模板的网站造成不小的影响。而且据该漏洞的作者声明,此次漏洞之所以在官网补丁出来之前发布是因为作者在几个版本前就向该建站系统厂商反馈,但漏洞并未得到修复,所以公布与众,督促厂商修复。我们推测,以前的多个版本均有很大概率也存在该漏洞,预计在未来的很长一段时间,所有基于MetInfo的网站都将受到不小的安全威胁。

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

各行各业的网站都有使用MetInfo的痕迹

MetInfo建站系统虽然推出时间很长,但由于 PHP 较强的灵活性以及其他安全原因,从诞生之初就不断爆出各种高危漏洞,包括注入,任意文件读取和写入,SSRF等。而此次漏洞的爆发也意外发现了厂商较慢的漏洞修复速度,因此,在以后也许会有更多高危漏洞继续爆出。

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

FOFA历来的部分POC

概况

MetInfo企业建站系统采用了开源的PHP+Mysql架构,第一个版本于2009年发布,目前最新的版本是V6.1.2,更新于 2018年9月26 日。MetInfo是一款功能全面、使用简单的企业建站软件。用户可以在不需要任何编程的基础上,通过简单的安装和可视化编辑设置就能够在互联网搭建独立的企业网站,能够极大的降低企业建站成本。目前国内各行业网站均有MetInfo的身影。

目前FOFA系统最新数据(一年内数据)显示全球范围内共有10745个基于Metinfo搭建的网站。中国使用数量最多,共有7098台,中国香港第二,共有2028台,美国第三,共有1312台,日本第四,共有73台,中国台湾第五,共有50台。白帽汇安全研究院抽样检测发现全球存在该SQL漏洞的比例为百分之1。值得一提的是,网上还有很多基于MetInfo改造的网站也受到潜在威胁

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

全球范围内MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)

中国地区中浙江省使用用数量最多,共有3542台;北京市第二,共有1562台,广东省第三,共有382台,河南省第四,共有322台,四川省第五,共有271台。

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

中国地区MetInfo建站分布情况(仅为分布情况,非漏洞影响情况)

危害等级

严重

漏洞原理

CNVD-2018-20024

漏洞原因在于文件/app/system/message/web/message.class.php中的sql语句 select * from {$M[table][config]} where lang =’{$M[form][lang]}’ and name= ‘met_fdok’ and columnid = {$M[form][id]}

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

漏洞涉及的语句

由于无单引号,所以貌似可以sql注入。但是由于 INADMIN 常量没有定义,导致 sqlinsert 函数把用户输入敏感字符通通删除掉。于是,最后利用 index.php 页面的 domessage 方法定义 INADMIN 常量,使得用户输入可以绕过sql注入过滤函数,成功进行注入。

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

需要绕过过滤函数

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

domessage函数定义常量

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

抽样发现外网的某台机器存在漏洞,可以得到数据库详细信息

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

进一步探测,发现管理员敏感数据

漏洞影响

目前漏洞影响版本号包括:

Metinfo 6.1.2
MetInfo 6.1.1
MetInfo 6.1.0

影响范围

结合FOFA系统,白帽汇安全研究院抽样检测发现全球存在CNVD-2018-20024漏洞的比例为百分之1,影响最严重的是中国。

漏洞POC

目前FOFA客户端平台已经更新CNVD-2018-20024检测POC。

漏洞预警 | MetInfo最新版本爆出SQL注入漏洞

CNVD-2018-20024 POC截图

CNVD编号

CNVD-2018-20024

修复建议

1、最新补丁在官网还未发布,建议用户把有问题的功能代码删除。

2、在补丁发布之前下线网站。官网地址: https://www.metinfo.cn/download/

白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接 https://nosec.org/home/detail/1889.html

参考

[1] https://bbs.ichunqiu.com/thread-46687-1-1.html

[2] http://www.cnvd.org.cn

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。


以上所述就是小编给大家介绍的《漏洞预警 | MetInfo最新版本爆出SQL注入漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Learn Python the Hard Way

Learn Python the Hard Way

Zed Shaw / Example Product Manufacturer / 2011

This is a very beginner book for people who want to learn to code. If you can already code then the book will probably drive you insane. It's intended for people who have no coding chops to build up t......一起来看看 《Learn Python the Hard Way》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具