Vtiger CRM 幾處SQL注入漏洞分析，測試工程師可借鑑

本文由雲+社區發表

0x00 前言

乾白盒審計有小半年了，大部分是業務上的代碼，邏輯的複雜度和功能模塊結構都比較簡單，幹久了收獲也就通常，有機會接觸一個成熟的產品（vtiger CRM）進行白盒審計，從審計的技術難度上來講，都比公司內的那些業務複雜得多，而真正要提升本身技術水平，更應該看的也是這些代碼。

vtiger CRM是一個客戶關係管理系統。

0x01 分析總體結構

https://www.vtiger.com/open-source-crm/download-open-source/代碼下載下來，本地搭建。使用phpstorm進行審計。

1. 主目錄下的vtigerversion.php能夠查看當前版本。

1. 總體代碼目錄

   

其中主要得功能實現就在modules目錄當中，也是咱們重點審計的地方。libraries目錄是使用到的第三方的一些東西，includes目錄是路由加載，封裝系統函數的地方。

整個系統代碼量確實不少，真要審計完估計沒有十天半個月是不行的，看了一個禮拜，只發現幾個問題。

0x02 modules/Calender/actions/feed.php SQL注入分析

一個成熟的產品，審計的難點就在於各類類，對象的封裝和繼承，A調用B，B調用C，C調用D......

Vtiger_BasicAjax_Action 這個對象，是modules下vtiger目錄裏的，而vtiger這個也是核心的module.

回到feed.php,直接定位有漏洞的代碼，103行後。

我圖中標的，也正是注入點的位置。

$fieldName參數由逗號分割成數組，若是分紅後的數組值爲2則進入邏輯，而後參數進入SQL語句造成注入。雖然整個系統採用了PDO的查詢方式，可是若是有SQL語句存在直接拼接的話，仍是有注入的風險。

這裏payload不能使用逗號，能夠採用 (select user())a join的方法繞過。

往下走的話，SQL注入漏洞更是多不勝數。也沒有再看的必要了。

0x03 /modules/Documents/models/ListView.php SQL注入

直接看漏洞代碼

能夠看到sortorder參數又是直接拼接。此處是order by後的注入，只能用基於時間的盲注。

直接上SQLmap吧，可是sqlmap的payload會使用>，尖括號由於xss防護，已經被過濾因此須要使用繞過腳本。 --tamper greatest 繞過。

poc:

index.php?module=Documents&parent=&page=1&view=List&viewname=22&orderby=filename&sortorder=and/**/sleep(5)&app=MARKETING&search_params=[]&tag_params=[]&nolistcache=0&list_headers=[%22notes_title%22,%22filename%22,%22modifiedtime%22,%22assigned_user_id%22,%22filelocationtype%22,%22filestatus%22]&tag=
複製代碼

0x04 寫在最後

因爲時間緣由，只看了前幾個模塊，還有好多地方沒有看。

漏洞都很簡單，真正花費時間的是走通邏輯，驗證漏洞，不停地跳轉查看函數調用，和各類類對象的繼承。這也是白盒審計的頭疼之處，要忍着性子看開發跳來跳去，沒準哪一個地方就跳錯了。有點難受，還沒找到getshell的地方。

此文已由做者受權騰訊雲+社區發佈