金睛安全播报 NO.070

本周安全态势

1.Dolibarr ERP-CRM 8.0.4 - 'rowid' SQL Injection分析

Dolibarr ERP＆CRM是一个开源的企业ERP和CRM管理软件（PHP语言编写），专为小型，中型或大型公司，基金会和自由职业者设计，世界范围内有大量的用户。近期该软件8.0.2 8.0.4版本都被发现sql注入漏洞，以下是8.0.4 sql注入漏洞的分析：

该漏洞在词典设置的准用户级别页面，使用报错注入即可注入出数据库数据，复现效果如下图所示：

可以看到test_sql_and_script_inject使用的是黑名单机制过滤sql注入的有害字符，黑名单是有纰漏的，此时我们可以使用EXTRACTVALUE函数报错注入绕过黑名单：

在dict.php文件的797行是漏洞的关键处$rowid未经过任何的处理直接带入到sql语句，并且在802行对数据库进行了query操作：

构造payload：

actionmodify=Modify&button_removefilter=Removefilter&button_search=Search&code=PL_NONE&entity=&from=&libelle=None&page=0&position=1&rowid=1'AND EXTRACTVALUE(6385,CONCAT(0x5c,(select user()),0x5c))%23

报错注入出数据库的用户名：

虽然只是一个简单的sql注入漏洞，但是该操作软件存储大量的客户信息资料，如果是竞争对手或者是黑产组织利用漏洞构造脚本进行脱裤，将会造成巨大的损害。造成该漏洞的原因有两个：

797行$rowid未经过任何的处理直接带入sql语句直接经行了操作

最初的防sql注入黑名单不够全面

建议：

对带入sql语句的变量严格过滤，黑名单进一步优化。

使用waf设备防护sql注入。

目前官方已经修复了该漏洞，主要是对$rowid中的有害数据进行转义，用户可进行升级。

大部分的用户安全意识较差没有删除install目录，该目录存在添加后台用户和重装数据库的风险，并且小于7.0.3的版本存在代码注入的漏洞，因此建议用户删除install目录并且升级到最新版本。

2.蔓灵花最新攻击样本分析

样本文件名：article_amy.doc