CVE-2022-3323：研华iView SQL注入漏洞复现洞

Advantech iView 是中国台湾研华（Advantech）公司的一个基于简单网络协议（SNMP）来对 B + B SmartWorx 设备进行管理的软件。

1. 复现环境

靶机：Win10（192.168.44.131）

软件：研华 iView 5.7.04.6469

2. 复现步骤

第一步：打开Apache Tomcat服务，确保其已开启，如下图所示：

第二步：执行python 脚本，脚本如下：

当com.imc.iview.utils.CUtils.checkSQLInjection()对column_value参数检查存在缺陷时，脚本执行完毕后可以获取iView管理员密码，如下图所示：

Python脚本执行过程中会发起post请求，当column_vaule的值为“(SELECT IF(LENGTH((SELECT`strUserPassword`FROM(user_table) /*!WHERE*/ strUserName = ‘admin’)) = 8,0,99999999999999999))”时，post请求的返回值为“Configuration Update Success.”，如下图所示：

分析com.imc.iview.ui.components.configuration.ConfigurationServlet.doPost()，当page_action_type为setConfiguration时调用

com.imc.iview.ui.components.configuration.ConfigurationServlet .setConfiguration()，如下图所示：

跟踪setConfiguration()发现其会调用com.imc.iview.utils.CUtils.checkSQLInjection()对column_value进行检查，如果检查通过则执行78行代码，在该行会调用com.imc.iview.database. setConfigurationItem()，如下图所示：

跟进com.imc.iview.database. setConfigurationItem()，此处会先进行SQL命令拼接之后执行拼接后的命令，如下图所示：

通过上述分析可知SQL命令执行的前提是column_value值可以通过checkSQLInjection()的检测，分析com.imc.iview.utils.CUtils.checkSQLInjection()发现其虽然对关键字进行了检测，但是检测不严格，如当column_value中同时包含“select”和“from”时调用com.imc.iview.utils.Cutils.checkCommentStr()做进一步检查，如下图所示：

跟进com.imc.iview.utils.Cutils.checkCommentStr()发现，该方法仅对 “select”和“from”之间是否包含“/*”、“*/”及空格做了检查，很明显检查不严格，造成SQL注入漏洞。

建议将软件更新至5.7.04.6583或更高版本以解决漏洞。

 获取更多情报

联系我们，获取更多漏洞情报详情及处置建议，让企业远离漏洞威胁。
电话：18511745601

邮箱：[email protected]

点击“在看”鼓励一下吧

原文始发于微信公众号（安帝Andisec）：CVE-2022-3323：研华iView SQL注入漏洞复现洞