当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-047879

漏洞标题:Ecmall 2.3 File Inclusion Vulnerability(鸡肋)

相关厂商:ShopEx

漏洞作者: zcy

提交时间:2014-01-05 17:26

修复时间:2014-02-19 17:27

公开时间:2014-02-19 17:27

漏洞类型:文件包含

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-05: 细节已通知厂商并且等待厂商处理中
2014-01-06: 厂商已经确认,细节仅向厂商公开
2014-01-16: 细节向核心白帽子及相关领域专家公开
2014-01-26: 细节向普通白帽子公开
2014-02-05: 细节向实习白帽子公开
2014-02-19: 细节向公众公开

简要描述:

Ecmall 2.3 File Inclusion Vulnerability

详细说明:

Ecmall 2.3 File Inclusion Vulnerability
By:zcy
Team:网络尖刀
版本:2.3
漏洞文件:app\my_payment.app.php
ECMall 社区电子商务系统(简称ECMall)是上海商派网络科技有限公司继ECShop之后推出的又一个电子商务姊妹产品。与 ECShop 不同的是,ECMall 是一个允许店铺加盟的多店系统。现已停止更新。
漏洞文件存在app/my_payment.app.php中的install方法中第74—88行中
漏洞代码如下:

QQ截图20140104044621.jpg


$code参数使用get方式请求。仅对获取来的参数进行过滤空格出来。76—81行代码对参数判断是否获取成功。并输出信息返回。82—88行开始调用get_builtin_info函数并带入$code参数。定位get_builtin_info函数在includes\models\ payment.model.php中160—166行代码。

QQ图片20140104045533.jpg


163行中,定义$payment_path变量,将$code变量带入拼接地址。然后return返回include路径。由于未做任何过滤导致文件包含漏洞产生。此处需要进行截断进行包含,受限较大。仅限于低版本的php。且需要注册账户并开通店铺。默认是允许任何人开启店铺功能。
构造链接:
http://127.0.0.1/ecmall/index.php?app=my_payment&act=install&code=../phpinfo.gif%00

漏洞证明:

Ecmall 2.3 File Inclusion Vulnerability
By:zcy
Team:网络尖刀
版本:2.3
漏洞文件:app\my_payment.app.php
ECMall 社区电子商务系统(简称ECMall)是上海商派网络科技有限公司继ECShop之后推出的又一个电子商务姊妹产品。与 ECShop 不同的是,ECMall 是一个允许店铺加盟的多店系统。现已停止更新。
漏洞文件存在app/my_payment.app.php中的install方法中第74—88行中
漏洞代码如下:

QQ截图20140104044621.jpg


$code参数使用get方式请求。仅对获取来的参数进行过滤空格出来。76—81行代码对参数判断是否获取成功。并输出信息返回。82—88行开始调用get_builtin_info函数并带入$code参数。定位get_builtin_info函数在includes\models\ payment.model.php中160—166行代码。

QQ图片20140104045533.jpg


163行中,定义$payment_path变量,将$code变量带入拼接地址。然后return返回include路径。由于未做任何过滤导致文件包含漏洞产生。此处需要进行截断进行包含,受限较大。仅限于低版本的php。且需要注册账户并开通店铺。默认是允许任何人开启店铺功能。
构造链接:
http://127.0.0.1/ecmall/index.php?app=my_payment&act=install&code=../phpinfo.gif%00

修复方案:

过滤$code参数

版权声明:转载请注明来源 zcy@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-01-06 09:27

厂商回复:

非常感谢您为shopex信息安全做的贡献
我们将尽快修复
非常感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-01-06 14:51 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    这个包含能截断么,呵呵?

  2. 2014-01-06 16:43 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    不能截断还叫包含么,呵呵?

  3. 2014-01-06 16:47 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    不能截断还叫包含么,呵呵?

  4. 2014-01-06 16:50 | As0n ( 路人 | Rank:4 漏洞数:3 | 我是技术宅,求交流,求基友)

    不能截断还叫包含么,呵呵?

  5. 2014-01-06 18:32 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    不能截断还叫包含么,呵呵?

  6. 2014-01-06 18:50 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    不能截断还叫包含么,呵呵?

  7. 2014-03-27 17:04 | 真Momo ( 路人 | Rank:10 漏洞数:1 | momo)

    不能截断还叫包含么,呵呵?

  8. 2014-12-18 17:04 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    洞主分析得很好