近日，我司SINE安全團(tuán)隊(duì)對(duì)網(wǎng)站進(jìn)行安全排查，發(fā)現(xiàn)美圖建站系統(tǒng)存在一個(gè)高危sql注入漏洞。攻擊者可以利用該漏洞對(duì)網(wǎng)站代碼進(jìn)行sql注入攻擊，偽造惡意非法sql語(yǔ)句，對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行攻擊。以及后臺(tái)服務(wù)器攻擊，該漏洞影響版本廣泛，.1.0版本、6.1.3版本、6.2.0版本都會(huì)被網(wǎng)站漏洞攻擊。

建站系統(tǒng)采用PHP語(yǔ)言開(kāi)發(fā)，數(shù)據(jù)庫(kù)采用架構(gòu)開(kāi)發(fā)。在整個(gè)網(wǎng)站使用過(guò)程中，簡(jiǎn)單易操作，網(wǎng)站外觀設(shè)計(jì)直觀。第三方API接口豐富，模板文件多。深受企業(yè)歡迎。網(wǎng)站的青睞，建站成本低，一鍵建站。目前，在中國(guó)有大量的網(wǎng)站使用網(wǎng)站建設(shè)。此漏洞將影響大多數(shù)網(wǎng)站。嚴(yán)重的，網(wǎng)站首頁(yè)會(huì)被篡改跳轉(zhuǎn)到其他網(wǎng)站，網(wǎng)站被劫持重定向到惡意網(wǎng)站，包括網(wǎng)站被掛馬、快照被劫持等。

關(guān)于這個(gè)漏洞的分析，我們先看看漏洞產(chǎn)生的原因：

漏洞產(chǎn)生在文件夾下的.php代碼文件中：

獨(dú)特的設(shè)計(jì)風(fēng)格采用MVC框架進(jìn)行設(shè)計(jì)。該漏洞的要點(diǎn)在于使用了auth類的調(diào)用方法。解碼和加密過(guò)程的算法有問(wèn)題。我們?cè)倏匆幌麓a：

通常加密和解密算法都是不可逆的，但是編寫(xiě)的代碼可以偽造函數(shù)值進(jìn)行逆向計(jì)算。讓我們看看這個(gè)構(gòu)造的惡意函數(shù)。這里的鍵值是從前端值中獲取的php語(yǔ)言開(kāi)發(fā)網(wǎng)站流程，獲取到的值會(huì)被獲取。寫(xiě)好復(fù)制到配置文件，目錄下的.php代碼中。通過(guò)查看這段代碼，我們發(fā)現(xiàn)寫(xiě)入的值無(wú)法被PHP腳本執(zhí)行。我們以為是一個(gè)偽造的鍵值寫(xiě)入木馬，結(jié)果發(fā)現(xiàn)不行，但是在偽造鍵值的過(guò)程中，可以進(jìn)行SQL注入攻擊。延遲注入攻擊php語(yǔ)言開(kāi)發(fā)網(wǎng)站流程，GET請(qǐng)求，post請(qǐng)求方法，方法都可以成功注入SQL，下面測(cè)試一下Sql注入：

通過(guò) GET 請(qǐng)求注入：

GET //.php?n=user&m=web&c=&a= HTTP/1.1

:

p=00c7%%%

將具體的SQL注入語(yǔ)句放入攻擊中，發(fā)現(xiàn)注入成功。以上注入普通用戶訪問(wèn)即可成功。下面的注入方式需要用戶登錄權(quán)限，注冊(cè)一個(gè)普通賬號(hào)，然后抓取值和偽造的sql注入語(yǔ)句混合注入。代碼如下：

//.php?n=user&m=web&c=&a= HTTP/1.1

: p=%;

漏洞修復(fù)建議及安全解決方案

目前最新版本發(fā)布于2019年3月28日網(wǎng)站建設(shè)，6.2.0版本。官方暫未修復(fù)此sql注入漏洞。建議網(wǎng)站運(yùn)營(yíng)商更改網(wǎng)站后臺(tái)地址和管理員賬號(hào)密碼。是12位以上的數(shù)字+字符+大小寫(xiě)的組合。對(duì)網(wǎng)站配置文件目錄進(jìn)行安全限制，取消PHP腳本執(zhí)行權(quán)限。如果對(duì)代碼不是很熟悉，建議找專業(yè)的網(wǎng)站安全騰云網(wǎng)絡(luò)來(lái)處理。漏洞修復(fù)，國(guó)內(nèi)的SINE安全網(wǎng)站開(kāi)發(fā)，還有綠盟科技、啟明星辰，都是比較好的網(wǎng)站漏洞修復(fù)騰云網(wǎng)絡(luò)。