ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → ecshop2.x SQL注入代码执行漏洞

ecshop2.x SQL注入代码执行漏洞

时间:2018-09-03 00:05:05人气:作者:本站作者我要评论

前言

问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行

漏洞分析

0x01 SQL注入

先看user.php

ecshop2.x SQL注入代码执行漏洞

$back_act变量来源于HTTP_REFERER,我们可控。

assign函数用于在模版变量里赋值

ecshop2.x SQL注入代码执行漏洞

再看display函数

ecshop2.x SQL注入代码执行漏洞

读取user_passport.dwt模版文件内容,显示解析变量后的html内容,用_echash做分割,得到$k然后交给isnert_mod处理,由于_echash是默认的,不是随机生成的,所以$val内容可随意控制。

再看insert_mod函数

ecshop2.x SQL注入代码执行漏洞

非常关键的一个地方,这里进行了动态调用

$val传入进来用|分割,参数传入进来时需要被序列化

再看include/lib_insert.php中的insert_ads函数

ecshop2.x SQL注入代码执行漏洞

可以看到这里直接就能注入了

Payload

部分内容被隐藏
评论刷新后查看

ecshop2.x SQL注入代码执行漏洞

0x02  代码执行

ecshop2.x SQL注入代码执行漏洞

继续看fetch函数

ecshop2.x SQL注入代码执行漏洞

追踪_eval函数

ecshop2.x SQL注入代码执行漏洞

$position_style变量来源于数据库中的查询结构

ecshop2.x SQL注入代码执行漏洞

然后我们继续构造SQL注入,因为这段sql操作 order by部分换行了截断不了 所以需要在id处构造注释来配合num进行union查询

ecshop2.x SQL注入代码执行漏洞

Payload

部分内容被隐藏
评论刷新后查看

函数中有一个判断

ecshop2.x SQL注入代码执行漏洞

我们 id传入’/*

num传入*/ union select 1,0x272f2a,3,4,5,6,7,8,9,10– -就能绕过了

ecshop2.x SQL注入代码执行漏洞

var_dump一下

ecshop2.x SQL注入代码执行漏洞

ecshop2.x SQL注入代码执行漏洞

再看fetch函数,传入的参数被fetch_str函数处理了

ecshop2.x SQL注入代码执行漏洞

追踪fetch_str函数,这里的字符串处理流程比较复杂

ecshop2.x SQL注入代码执行漏洞

  1. return preg_replace("/{([^\}\{\n]*)}/e""\$this->select('\\1');", $source);

这一行意思是:

比如$source是xxxx{$asd}xxx,那么经过这行代码处理后就是返回this->select(‘$asd’)的结果!

再看select函数

ecshop2.x SQL注入代码执行漏洞

第一个字符为$时进入$this->get_val函数

ecshop2.x SQL注入代码执行漏洞

我们$val没有.$又进入make_var函数

ecshop2.x SQL注入代码执行漏洞

最后这里引入单引号从变量中逃逸

ecshop2.x SQL注入代码执行漏洞

我们要闭合_var所以最终payload是

  1. {$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ=='));//}xxx

会在网站跟目录生成1.txt 里面内容是Getshell

ecshop2.x SQL注入代码执行漏洞

GETSHELL EXP:

部分内容被隐藏
评论刷新后查看

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网