2. 程式人生 > >20.Ecshop 2.x/3.x SQL註入/任意代碼執行漏洞(附實戰exp)

20.Ecshop 2.x/3.x SQL註入/任意代碼執行漏洞(附實戰exp)

阿新 發佈:2018-11-13
list 文件中 使用 arr php文件 滿足 null sig 安全

Ecshop 2.x/3.x SQL註入/任意代碼執行漏洞

影響版本:

Ecshop 2.x

Ecshop 3.x-3.6.0

漏洞分析:

該漏洞影響ECShop 2.x和3.x版本,是一個典型的“二次漏洞”,通過user.php文件中display()函數的模板變量可控,從而造成SQL註入漏洞,而後又通過SQL註入漏洞將惡意代碼註入到危險函數eval中,從而實現了任意代碼執行。

值得一提的是攻擊者利用的payload只適用於ECShop 2.x版本導致有部分安全分析者認為該漏洞不影響ECShop 3.x,這個是因為在3.x的版本裏有引入防註入攻擊的安全代碼,通過我們分析發現該防禦代碼完全可以繞過實現對ECShop 3.x的攻擊(詳見下文分析)。

註:以下代碼分析基於ECShop 2.7.3

SQL註入漏洞分析:

首先我們看一下漏洞的起源點 user.php ,在用戶login這裏有一段代碼:

/* 用戶登錄界面 */
elseif ($action == login)
{
    if (empty($back_act))
    {
        if (empty($back_act) && isset($GLOBALS[_SERVER][HTTP_REFERER]))
        {
            $back_act = strpos($GLOBALS[‘_SERVER‘][‘HTTP_REFERER‘], ‘user.php‘) ? ‘./index.php‘ : $GLOBALS[‘_SERVER‘][‘HTTP_REFERER‘
 
];
        }
        else
        {
            $back_act = user.php;
        }

    }


    $captcha = intval($_CFG[captcha]);
    if (($captcha & CAPTCHA_LOGIN) && (!($captcha & CAPTCHA_LOGIN_FAIL) || (($captcha & CAPTCHA_LOGIN_FAIL) && $_SESSION[login_fail] > 2
 
)) && gd_version() > 0)
    {
        $GLOBALS[smarty]->assign(enabled_captcha, 1);
        $GLOBALS[smarty]->assign(rand, mt_rand());
    }

    $smarty->assign(‘back_act‘, $back_act);
    $smarty->display(user_passport.dwt);
}

Ecshop使用了php模版引擎smarty,該引擎有兩個基本的函數assign()、display()。assign()函數用於在模版執行時為模版變量賦值,display()函數用於顯示模版。

smarty運行時,會讀取模版文件,將模版文件中的占位符替換成assign()函數傳遞過來的參數值,並輸出一個編譯處理後的php文件,交由服務器運行。

可以看到 $back_act 是從 $GLOBALS[‘_SERVER‘][‘HTTP_REFERER‘] 獲取到的,HTTP_REFERER 是外部可控的參數,這也是我們註入payload的源頭。

在模版執行時,assign()把 $back_act 賦值給模版變量 back_act ,下面我們跟進這個模版變量到 /includes/cls_template.php

    /**
     * 註冊變量
     *
     * @access  public
     * @param   mix      $tpl_var
     * @param   mix      $value
     *
     * @return  void
     */
    function assign($tpl_var, $value = ‘‘)
    {
        if (is_array($tpl_var))
        {
            foreach ($tpl_var AS $key => $val)
            {
                if ($key != ‘‘)
                {
                    $this->_var[$key] = $val;
                }
            }
        }
        else
        {
            if ($tpl_var != ‘‘)
            {
                $this->_var[$tpl_var] = $value;
            }
        }
    }

從上面的assign()函數,我們看出 $tpl_var 接受我們傳過來的參數 $back_act ,但不是個數組,所以 $this ->_var[$back_act] = $back_act ,而後調用display()函數來顯示模板,在includes/init.php文件中創建了Smarty對象cls_template來處理模版文件,對應的文件是 includes/cla_template.php

function display($filename, $cache_id = ‘‘)
    {
        $this->_seterror++;
        error_reporting(E_ALL ^ E_NOTICE);

        $this->_checkfile = false;
        $out = $this->fetch($filename, $cache_id);

        if (strpos($out, $this->_echash) !== false)
        {
            $k = explode($this->_echash, $out);
            foreach ($k AS $key => $val)
            {
                if (($key % 2) == 1)
                {
                    $k[$key] = $this->insert_mod($val);
                }
            }
            $out = implode(‘‘, $k);
        }
        error_reporting($this->_errorlevel);
        $this->_seterror--;

        echo $out;
    }

從user.php調用display()函數,傳遞進來的$filename是user_passport.dwt,從函數來看,首先會調用 $this->fetch 來處理 user_passport.dwt 模板文件,fetch函數中會用 $this->make_compiled 來編譯模板。user_passport.dwt其中一段如下:


<td align="left">
<input type="hidden" name="act" value="act_login" />
<input type="hidden" name="back_act" value="{$back_act}" />
<input type="submit" name="submit" value="" class="us_Submit" />

make_compiled 會將模板中的變量解析,也就是在這個時候將上面assign中註冊到的變量 $back_act 傳遞進去了,解析完變量之後返回到display()函數中。此時$out是解析變量後的html內容,後面的代碼是判斷 $this->_echash 是否在 $out 中,如果存在的話,使用 $this->_echash 來分割內容,得到$k然後交給insert_mod處理,我們來查找 _echash 的值:

技術分享圖片

發現 _echash 是個默認的值,不是隨機生成的,所以 $val 內容可隨意控制。跟進$this->insert_mod:

  function insert_mod($name) // 處理動態內容
    {
        list($fun, $para) = explode(|, $name);
        $para = unserialize($para);
        $fun = insert_ . $fun;

        return $fun($para);
    }

$val傳遞進來,先用 | 分割,得到 $fun $para$para進行反序列操作,$fun insert_ 拼接,最後動態調用 $fun($para),函數名部分可控,參數完全可控。接下來就是尋找以 insert_ 開頭的可利用的函數了,在 /includes/lib_insert.php 有一個 insert_ads() 函數,正好滿足要求。看下 insert_ads() 函數:

function insert_ads($arr)
{
    static $static_res = NULL;

    $time = gmtime();
    if (!empty($arr[‘num‘]) && $arr[‘num‘] != 1)
    {
        $sql  = SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width,  .
                    p.ad_height, p.position_style, RAND() AS rnd  .
                FROM  . $GLOBALS[ecs]->table(ad) .  AS a .
                LEFT JOIN  . $GLOBALS[ecs]->table(ad_position) .  AS p ON a.position_id = p.position_id  .
                "WHERE enabled = 1 AND start_time <= ‘" . $time . "‘ AND end_time >= ‘" . $time . "".
                    "AND a.position_id = ‘" . $arr[‘id‘] . "" .
                ORDER BY rnd LIMIT  . $arr[‘num‘];
        $res = $GLOBALS[db]->GetAll($sql);
    }
    else
    {
        if ($static_res[$arr[‘id‘]] === NULL)
        {
            $sql  = SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, .
                        p.ad_height, p.position_style, RAND() AS rnd  .
                    FROM  . $GLOBALS[ecs]->table(ad) .  AS a .
                    LEFT JOIN  . $GLOBALS[ecs]->table(ad_position) .  AS p ON a.position_id = p.position_id  .
                    "WHERE enabled = 1 AND a.position_id = ‘" . $arr[‘id‘] .
                        "‘ AND start_time <= ‘" . $time . "‘ AND end_time >= ‘" . $time . "" .
                    ORDER BY rnd LIMIT 1;
            $static_res[$arr[id]] = $GLOBALS[db]->GetAll($sql);
        }
        $res = $static_res[$arr[id]];
    }
    $ads = array();
    $position_style = ‘‘;

20.Ecshop 2.x/3.x SQL註入/任意代碼執行漏洞(附實戰exp)

相關推薦

20.Ecshop 2.x/3.x SQL/任意執行漏洞(實戰exp)

list 文件中 使用 arr php文件 滿足 null sig 安全 Ecshop 2.x/3.x SQL註入/任意代碼執行漏洞 影響版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 該漏洞影響ECShop 2.x和3.x版本,

Nexus Repository Manager 3(CVE-2019-7238) 遠程執行漏洞分析和復現

下載鏈接 例子 conf bash 動態 本地 簡單的 article detail 0x00 漏洞背景 Nexus Repository Manager 3是一款軟件倉庫,可以用來存儲和分發Maven,NuGET等軟件源倉庫。其3.14.0及之前版本中,存在一處基於Or

ourphp 最新版(v1.7.3) 後臺sql

http dmi client app conf agen 9.png 系統 sql語句 version:<?php /*************************************************************************

Sonatype Nexus Repository Manager版本3.14.2訪問控制缺失及遠程執行漏洞

class trie repo 新版 chm access tex ali live 發現被執行的程序在xmrig在 /var/tmp/目錄下 curl -o /var/tmp/xmrig http://202.144.193.159/xmrig;curl -o /

PHPMailer < 5.2.18 遠程執行漏洞(CVE-2016-10033)

com ifconf github cnblogs grep main src avi https PHPMailer < 5.2.18 Remote Code Execution    本文將簡單展示一下PHPMailer遠程代碼執行漏洞(CVE-2016-100

2. 執行漏洞

nsh set think mixed 生成文件 sse add PE .com 代碼執行 當應用在調用一些能將字符轉化為代碼的函數(如PHP中的eval)時, 沒有考慮用戶是否能控制這個字符串,這就會造成代碼執行漏洞。 相關函數 PHP:eval assert

ECShop全系列版本遠程執行漏洞復現

eval 解析變量 width xtra assert attr 執行 assign select 前言 問題發生在user.php的display函數,模版變量可控,導致註入,配合註入可達到遠程代碼執行 漏洞分析 0x01-SQL註入 先看user.php $bac

thinkphp 5.0 index.php被替換成首頁內容,被惡意

linu 首頁 4.0 遇到 dmi php文件 load pro href 原TP項目是5.0.10,近日,在登錄後臺時,域名/admin,跳轉到網站首頁。無法進入後臺登錄頁面。然後發現,public/index.php竟然被改了。 先升級到5.0.24。還是被中槍。 後

ecshop 2.x 3.x sql injection/rce payload

數據 file creat 版本 獲取數據 -s 公開 ant shell 首先,感謝ringk3y的分析:http://ringk3y.com/2018/08/31/ec ... %E6%89%A7%E8%A1%8C/ 大家跟一遍代碼基本上都能弄明白漏洞的原理,整個漏洞的

[3140] Sublime Text 2.x, 3.x 通用註冊、密鑰集合

cbc 所有 包括 mmu pre 2.x cad 字符串 lar [3140] Sublime Text 2.x, 3.x Universal License Keys collection for Win, Mac & Lin 所有這些許可證密鑰都被測

如何選擇jQuery版本 1.x? 2.x? 3.x?

har 環境 現實 jquery style 8.0 最終 ron 進步 這篇文章主要給大家介紹了關於如何選擇jQuery版本,是1.x? 2.x?還是3.x? 在選擇使用jquery之前我們常常會考慮jQuery應該選擇什麽版本?現在jquery一般用什麽版本以及jq

ref:ThinkPHP Builder.php SQL漏洞(<= 3.2.3)

syntax tle AR turn sql註入 cat 類型 times execute ThinkPHP Builder.php SQL註入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSH

Zabbix-2.X/3.X監控工具監控Redis以及zabbix Redis監控模板下載

輸入 spa -a 運行狀況 https 查找 sub str scheduled 為了監控Redis3的運行狀況,去zabbix官網查找資料,根據提示,找到了這個項目:https://github.com/blacked/zbx_redis_template 但是文檔和

密碼學,有限域GF(2^8)乘法計算,不可約多項式為P(x)=x^8+x^4+x^3+x+1

理論基礎: C(x)=A(x)*B(x) mod P(x) 二進位制數轉換為多項式:A(a7,a6,a5,a4,a3,a2,a1,a0)==>A(X)=a7x7+a6x6+a5x5+a4x4+

OpenCV 2.x/3.x 隨機初始化矩陣

簡介 在測試演算法的時候,或者某些演算法需要使用隨機數,本文介紹如何使用OpenCV的隨機數相關功能。 主要內容: 1. cv::RNG類 —— random number generator 2. cv::randu —— 填充均勻分佈隨機數 3.

請問1^x+2^x+3^x+\cdots +n^x的算式是什麼呢?

目錄 總結 請問\(1^x+2^x+3^x+\cdots +n^x\)的算式是什麼呢? 一、求和式\(\sum\limits_{i=1}^n{i}\)的算式 如何證明求和簡式\(\sum\limits_{i=

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

5.簡單sql2

web安全 sql註入 ctf 實驗吧 提示:有回顯的sql註入 這題其實使用上一篇博文的/**/技術即可獲得flag 上一篇博文簡單sql註入補充: 其實那題還過濾了關鍵詞加空格(只過濾一遍,所以寫兩遍即可),出題者考的是如下sql語句(空格和關鍵詞都要寫兩遍)

Drupal V7.3.1 框架處理不當導致SQL

literal select getc 十分 req bar databases 網絡 inf 這個漏洞本是2014年時候被人發現的,本著學習的目的,我來做個詳細的分析。漏洞雖然很早了,新版的Drupal甚至已經改變了框架的組織方式。但是絲毫不影響對於漏洞的分析。這是一

sql學習筆記2

center database 入學 引擎 order 用戶權限 博客 pos 檢測 Mysql除了自創建的數據庫還有一個自帶的information_schema數據庫。 它提供了訪問元數據的方式,元數據就是對數據的描述。 其中保存著關於MySQL服務器所維護的所有其他數