易思ESPCMS越权为任意用户添加订单

### 简要描述： 易思ESPCMS越权为用户添加订单，到时候买来的快递员敲门说你的情趣用品可就不好咯 ### 详细说明： 这次测试一共两个用户分别为admin1、admin2 首先我们登录用户1admin1 [<img src="https://images.seebug.org/upload/201405/160759251cf4236ff60e6aa07f9ef15dd3c3e613.jpg" alt="QQ图片20140516075718.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/160759251cf4236ff60e6aa07f9ef15dd3c3e613.jpg) 之后我们去商城选取一样东西 [<img src="https://images.seebug.org/upload/201405/16080014bc5920527d0a306c93a4c491f599efb4.jpg" alt="QQ图片20140516080005.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16080014bc5920527d0a306c93a4c491f599efb4.jpg) 点击我要购物 到达这个页面的时候，我们点击结算 [<img src="https://images.seebug.org/upload/201405/16080128d3bf87521eb4f98f21f097082e0a84b9.jpg" alt="QQ图片20140516080107.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16080128d3bf87521eb4f98f21f097082e0a84b9.jpg) 我们填写好订单信息之后点击确认提交订单之后进行抓包 [<img src="https://images.seebug.org/upload/201405/1608064502edc1d4acc6bdefe8c436ac6b329c44.jpg" alt="QQ图片20140516080529.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1608064502edc1d4acc6bdefe8c436ac6b329c44.jpg) 之后看看抓包的内容 [<img src="https://images.seebug.org/upload/201405/16080752c3f680a9f4005aee70d94bb41c796ce2.jpg" alt="QQ图片20140516080714.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16080752c3f680a9f4005aee70d94bb41c796ce2.jpg) 看到第一个了吗，userid=1，如果我们改为admin2的id呢（admin2的id是2）那么，我们试试 [<img src="https://images.seebug.org/upload/201405/16080934b5e67bba7d07d50c5c3b438820e31ed2.jpg" alt="QQ图片20140516080725.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16080934b5e67bba7d07d50c5c3b438820e31ed2.jpg) 提交之后，提示订单成功 [<img src="https://images.seebug.org/upload/201405/160809591dc15e73e5d952fa7643f71d0bc0204e.jpg" alt="QQ图片20140516080741.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/160809591dc15e73e5d952fa7643f71d0bc0204e.jpg) 但是我们回订单中心，看看有没有订单 可以看到没有 那个是我昨天测试的 [<img src="https://images.seebug.org/upload/201405/160811144c77fea0474e751c4af005da1ef7df2a.jpg" alt="QQ图片20140516081055.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/160811144c77fea0474e751c4af005da1ef7df2a.jpg) 那么，订单去哪了呢，我们登录上admin2看看 [<img src="https://images.seebug.org/upload/201405/16081402a77ad793916482f08c7d26bb9b132d1a.jpg" alt="QQ图片20140516081354.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16081402a77ad793916482f08c7d26bb9b132d1a.jpg) 看到了吗，刚刚我们admin1提交的订单到admin2这里来了 点进去看看你 qq姓名都是刚刚我在admin1填写的。。 [<img src="https://images.seebug.org/upload/201405/16081508f8d2733567fa6c0770616312195dbaec.jpg" alt="QQ图片20140516081452.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16081508f8d2733567fa6c0770616312195dbaec.jpg) 为了验证更准确，我们进后台看看 [<img src="https://images.seebug.org/upload/201405/160816096b1d6a08f4c7ccf121c99e61e5f18c92.jpg" alt="QQ图片20140516081601.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/160816096b1d6a08f4c7ccf121c99e61e5f18c92.jpg) 看到了吗，确实是admin2的订单了，这样就可以给任意用户添加订单了。。。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/160816436f5d5c1d2cd60d00a138f67cd323fa9a.jpg" alt="QQ图片20140516081601.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/160816436f5d5c1d2cd60d00a138f67cd323fa9a.jpg)