某ERP系统开源版本审计

• 分析

某ERP系统开源版本地址：https://gitee.com/yimiaoOpen/nodcloud
开审！！！！！
1.在恢复备份功能点，可调用restore方法从数据库备份文件中恢复数据。

2.查看restore方法，接受$filename参数调用parseSQL方法解析文件

3.紧接着查看parseSQL方法，用于解析SQL文件，过滤空行、注释、连接SQL语句什么的。

4.到这可以看出一些代码处理逻辑的问题，对传入的文件名未做过滤，可以利用../去进行目录穿越；在parseSQL方法解析传入的文件时，不会对文件后缀进行校验，只要存在该文件便进行SQL处理，最终执行文件中的SQL语句。

• 小小插曲

该漏洞需要找到一个上传文件功能点，来进行组合利用。步骤如下：
上传恶意SQL文件>>通过恢复备份功能来执行恶意SQL语句
1.想着随随便便传个jpg就可以了，但是返回error。

2.返回去瞅瞅代码，发现检验了文件头，利用GIF89a绕过之后，遇到新的问题就是GIF89a会导致文件内容不能被正确解析为SQL语句。

3.跟进代码，发现好在并不是所有后缀都进行了内容校验。

• 完整实现

具体实现，MySQL日志写shell。

set global general_log=on;
set global general_log_file='hnggnb.php';
select '' ;

• 限制

1.是后台漏洞
2.需要绝对路径
3.需要开启日志的权限

原文始发于微信公众号（雁行安全团队）：某ERP系统开源版本审计