万户ezEIP企业管理系统productlist.aspxSQL注入漏洞

漏洞概述
万户ezEIP企业管理系统（版本受影响的特定范围）中的 productlist.aspx 文件存在SQL注入漏洞。攻击者可通过构造恶意参数注入SQL代码，绕过系统安全机制，直接对数据库进行未授权操作，可能导致数据泄露、篡改或服务器被控制。

漏洞原理

1. 注入点定位
   productlist.aspx 页面在处理用户输入参数（如 id、category、keyword 等）时，未对输入进行充分过滤或使用参数化查询，直接将用户输入拼接至SQL查询语句中。

2. 漏洞触发参数
   通常通过GET/POST传递的参数（例如 id、type）被用于数据库查询。例如：

   SELECT * FROM products WHERE category_id = '用户输入' AND status = 1

   若参数未过滤，攻击者可输入 ' OR '1'='1 等恶意字符改变查询逻辑。

3. 数据库类型推断
   系统通常使用 SQL Server 或 MySQL 数据库，攻击者可通过报错信息或时间盲注判断数据库类型，进一步构造针对性Payload。

漏洞复现步骤

1. 探测注入点
   访问以下链接，观察响应是否存在数据库报错或内容异常：

   https://目标域名/productlist.aspx?category=1' AND '1'='1

   若返回正常页面，尝试：

   https://目标域名/productlist.aspx?category=1' AND '1'='2

   若两次返回结果不同，则可能存在注入漏洞。

2. 验证注入类型

   • 报错注入：输入单引号 '，观察是否返回数据库错误信息（如 SQL Server 的“未闭合引号”错误）。
   • 布尔盲注：通过条件语句判断页面内容差异，例如：

     category=1' AND (SELECT SUBSTRING(@@version,1,1))='M' --

   • 时间盲注：使用数据库延迟函数判断，例如 SQL Server 的 WAITFOR DELAY '0:0:5'。

3. 利用示例Payload

   • 获取数据库版本（SQL Server）：

     productlist.aspx?id=1' AND (SELECT @@version) IS NULL --

   • 提取表名：

     productlist.aspx?category=1' AND (SELECT TOP 1 table_name FROM information_schema.tables)='users' --

影响范围

• 受影响版本：万户ezEIP系统部分历史版本（需具体版本验证）。
• 风险等级：高危（CVSS 评分可达 9.0+）。
• 潜在危害：
  • 数据库敏感信息泄露（如用户密码、企业数据）。
  • 通过 xp_cmdshell 等扩展功能获取服务器权限。
  • 数据被篡改或删除，导致业务瘫痪。

修复建议

1. 临时缓解措施

   • 在Web应用防火墙（WAF）中配置规则，拦截包含SQL关键字的请求（如 UNION、SELECT、EXEC 等）。
   • 对 productlist.aspx 的输入参数进行严格过滤，拒绝特殊字符（如单引号、分号、注释符）。

2. 根本解决方案

   • 使用参数化查询：将SQL查询与数据分离，例如：

     SqlCommand cmd = new SqlCommand("SELECT * FROM products WHERE category_id = @category");
     cmd.Parameters.AddWithValue("@category", Request.QueryString["category"]);

   • 最小权限原则：数据库连接账户仅授予必要权限，禁用 xp_cmdshell 等危险扩展。
   • 升级与补丁：联系厂商获取最新安全补丁或升级到漏洞修复的版本。

3. 安全检测建议

   • 使用SQL注入扫描工具（如 SQLMap、Acunetix）对系统进行全面检测。
   • 定期进行代码审计，重点关注用户输入直接拼接SQL语句的位置。

注意事项

• 漏洞利用需遵守法律法规，仅限授权测试。
• 厂商可能已在后续版本修复漏洞，建议通过官方渠道确认更新状态。