|Ecmall某处SQL注入第五弹&amp;一处能引入单引号的地方

Ecmall某处SQL注入第五弹&amp;一处能引入单引号的地方

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述：做完作业再看看0618补丁。非二次注入, 连载了这么多弹有感情了。应该是最后一弹了, 看在是最后一弹了也别再3rank了把。给高点把。一枚注入 & 另外一处能引入单引号或者转义符不过也就只能引入这个而已这里不太好利用。 ### 详细说明：首先还是把我之前发的ecmall的那两个先确认了来下撒? 刚在bbs下的20140618的补丁 0x01 能引入单引号或者转义符的地方首先来看看my_goods.app.php中的这函数 ``` function _get_post_data($id = 0) { $goods = array( 'goods_name' => $_POST['goods_name'], 'description' => html_script($_POST['description']), 'cate_id' => $_POST['cate_id'], 'cate_name' => $_POST['cate_name'], 'brand' => $_POST['brand'], 'if_show' => $_POST['if_show'], 'last_update' => gmtime(), 'recommended' => $_POST['recommended'], 'tags' => html_script(trim($_POST['tags'])), ); $spec_name_1 = !empty($_POST['spec_name_1']) ? $_POST['spec_name_1'] : ''; $spec_name_2 = !empty($_POST['spec_name_2']) ? $_POST['spec_name_2'] : ''; ``` 省略一点 ``` case 2: // 二个规格 $goods['spec_name_1'] = $spec_name_1; $goods['spec_name_2'] = $spec_name_2; foreach ($_POST['spec_1'] as $key => $spec_1) { $spec_1 = trim($spec_1); $spec_2 = trim($_POST['spec_2'][$key]); if ($spec_1 && $spec_2) { if (($spec_id = intval($_POST['spec_id'][$key]))) // 已有规格ID的 { $specs[$key] = array( 'spec_id' => $spec_id, 'spec_1' => $spec_1, 'spec_2' => $spec_2, 'price' => $this->_filter_price($_POST['price'][$key]), 'stock' => intval($_POST['stock'][$key]), 'sku' => html_script(trim($_POST['sku'][$key])), ); } ``` 主要来看这里的 $spec_2 = trim($_POST['spec_2'][$key]); 'sku' => html_script(trim($_POST['sku'][$key])), 这里$key带入到了后面而且$key是post来的所以是可控的。如果这时候我们提交的是字符串就成了截取字符的了。因为' 会被ecmall的全局addslashes转义成\' 如果这时候截取第一个字符就成了\ 截取第二个字符就是' 引入了转义符如果有两个连着的可控的话可以这样 '\','user()#' 之类的就能注入了可惜这里只有一个可控。 ``` $specs[$key] = array( 'spec_id' => $spec_id, 'spec_1' => $spec_1, 'spec_2' => $spec_2, 'price' => $this->_filter_price($_POST['price'][$key]), 'stock' => intval($_POST['stock'][$key]), 'sku' => html_script(trim($_POST['sku'][$key])), ); ``` 这里spec_2 可以截取无奈price被过滤了。 stock也可以截取可是被intval了 sku 也可以截取可是已经是最后一个了。。然后在edit中调用了这函数。 [<img src="https://images.seebug.org/upload/201407/21225104621a0c3521c8d901cfd9ef11f9fe3eb1.jpg" alt="10.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/21225104621a0c3521c8d901cfd9ef11f9fe3eb1.jpg) 这里截取第2个字符成功引入单引号。 [<img src="https://images.seebug.org/upload/201407/212252056634264ea649cc40713c4ca2687a4da7.jpg" alt="11.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/212252056634264ea649cc40713c4ca2687a4da7.jpg) 截取第一个字符成功引入转义符。 0x02 能成功的注入。。首先来看一下ecmall的全局文件 ``` } /* 数据过滤 */ if (!get_magic_quotes_gpc()) { $_GET = addslashes_deep($_GET); $_POST = addslashes_deep($_POST); $_COOKIE= addslashes_deep($_COOKIE); } ``` 判断gpc是否开启如果关闭就调用addslashes_deep来对get post cookie进行转义 ``` function addslashes_deep($value) { if (empty($value)) { return $value; } else { return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value); } } ``` 这里可以看到对数组中的value进行了addslashes 没有对key进行addslashes。在my_goods.app.php中看这函数 ``` function _edit_image($goods_id) { if (isset($_POST['old_order'])) { foreach ($_POST['old_order'] as $image_id => $sort_order) { $data = array('sort_order' => $sort_order); if (isset($_POST['old_url'][$image_id])) { $data['image_url'] = $_POST['old_url'][$image_id]; } $this->_image_mod->edit("image_id = '$image_id' AND goods_id = '$goods_id'", $data); } } return true; } ``` 对post的foreach 出来后直接把post里的key 带入到了查询当中。结合刚才说的数组中的key是不会被addslashes的所以造成了注入。调用这函数的地方随便找一处把。 [<img src="https://images.seebug.org/upload/201407/21230418680851831dc6c5a34b0f9b04de17d63e.jpg" alt="12.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/21230418680851831dc6c5a34b0f9b04de17d63e.jpg) ### 漏洞证明：见上面。

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™