当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(57) 关注此漏洞

缺陷编号: WooYun-2012-11066

漏洞标题: Ecshop存在诸多SQL注射漏洞

相关厂商: ShopEx

漏洞作者: blue认证白帽子

提交时间: 2012-08-19 16:48

公开时间: 2012-10-03 16:48

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 8

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

6人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-19: 细节已通知厂商并且等待厂商处理中
2012-08-19: 厂商已经确认,细节仅向厂商公开
2012-08-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2012-10-13: 细节向核心白帽子及相关领域专家公开
2012-10-23: 细节向普通白帽子公开
2012-11-02: 细节向实习白帽子公开
2012-10-03: 细节向公众公开

简要描述:

开源网店系统Ecshop存在多处的SQL注射漏洞,成功利用可以获取网店权限

详细说明:

flow.php



code 区域
elseif ($_REQUEST['step'] == 'update_cart')


{


    if (isset($_POST['goods_number']) && is_array($_POST['goods_number']))


    {


        flow_update_cart($_POST['goods_number']);


    }





    show_message($_LANG['update_cart_notice'], $_LANG['back_to_cart'], 'flow.php');


    exit;


}





code 区域
function flow_update_cart($arr)


{


    /* 处理 */


    foreach ($arr AS $key => $val)


    {


        $val = intval(make_semiangle($val));


        if ($val <= 0 && !is_numeric($key))


        {


            continue;


        }





        //查询:


        $sql = "SELECT `goods_id`, `goods_attr_id`, `product_id`, `extension_code` FROM" .$GLOBALS['ecs']->table('cart').


               " WHERE rec_id='$key' AND session_id='" . SESS_ID . "'";


        $goods = $GLOBALS['db']->getRow($sql);





        $sql = "SELECT g.goods_name, g.goods_number ".


                "FROM " .$GLOBALS['ecs']->table('goods'). " AS g, ".


                    $GLOBALS['ecs']->table('cart'). " AS c ".


                "WHERE g.goods_id = c.goods_id AND c.rec_id = '$key'";


        $row = $GLOBALS['db']->getRow($sql);





        //查询:系统启用了库存,检查输入的商品数量是否有效


        if (intval($GLOBALS['_CFG']['use_storage']) > 0 && $goods['extension_code'] != 'package_buy')


        {


            if ($row['goods_number'] < $val)


            {


                show_message(sprintf($GLOBALS['_LANG']['stock_insufficiency'], $row['goods_name'],


                $row['goods_number'], $row['goods_number']));


                exit;


            }


            /* 是货品 */


            $goods['product_id'] = trim($goods['product_id']);


            if (!empty($goods['product_id']))


            {





仅仅全局对数组的值有处理但是没有对key处理造成漏洞

漏洞证明:

修复方案:

全局对key也处理!

版权声明:转载请注明来源 blue@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2012-08-19 22:26

厂商回复:

感谢您为Shopex信息安全做的贡献,
我们会尽快处理
非常感谢!!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2012-08-19 17:03 | 左右 ( 路人 | Rank:23 漏洞数:3 | 左右 ? 左. : 右.)
    0

    诸多~~~坐等公开

    1# 回复此人
  2. 2012-08-19 17:47 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
    0

    我很想知道 源码在那里获取的。

    2# 回复此人
  3. 2012-08-19 17:50 | 葉孒 ( 实习白帽子 | Rank:37 漏洞数:5 | 呵呵)
    0

    纳尼

    3# 回复此人
  4. 2012-08-19 17:56 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @neal ecshop不是开源的么

    4# 回复此人
  5. 2012-08-19 18:50 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
    0

    @xsser 完全的开源吗? 我不知道哈.

    5# 回复此人
  6. 2012-08-19 18:52 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
    0

    @xsser 我的意思是能看到源码的吗? 我是搞java的 对php甚是不了解,见谅 见谅

    6# 回复此人
  7. 2012-08-19 18:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @neal 嗯,一般的php都是开源的

    7# 回复此人
  8. 2012-08-19 19:00 | 风萧萧 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:80 | 人这一辈子总要动真格的爱上什么人)
    0

    大牛出没

    8# 回复此人
  9. 2012-08-19 19:54 | 飘雪柔情 ( 实习白帽子 | Rank:33 漏洞数:7 | 我不是黑客,你们都是黑客)
    0

    坐等公开!!

    9# 回复此人
  10. 2012-08-19 22:42 | mario ( 路人 | Rank:0 漏洞数:1 | 可以省略吗)
    0

    坐等公开

    10# 回复此人
  11. 2012-08-19 22:57 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    又会死多少商户哦。

    11# 回复此人
  12. 2012-08-19 23:02 | Anony ( 实习白帽子 | Rank:38 漏洞数:5 | 乌云白帽子一枚)
    0

    7.1版本的?

    12# 回复此人
  13. 2012-08-19 23:19 | gainover 认证白帽子 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
    0

    膜拜~

    13# 回复此人
  14. 2012-08-19 23:42 | cddevils ( 路人 | Rank:14 漏洞数:2 | 菜鸟一个)
    0

    坐等。。

    14# 回复此人
  15. 2012-08-26 12:20 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)
    0

    。。。悲催了~~我也是用的ecshop 坐等公布啊

    15# 回复此人
  16. 2012-08-30 12:58 | wanxx ( 路人 | Rank:6 漏洞数:1 | 无)
    0

    怀着鸡冻的心情 花光了哥的WB 我发觉我被标题坑了

    16# 回复此人
  17. 2012-08-30 13:29 | yy520 ( 普通白帽子 | Rank:139 漏洞数:12 )
    0

    @wanxx 求内容~求详情~ 到底是ecshop还是shopex

    17# 回复此人
  18. 2012-08-30 13:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @wanxx 怎么讲,假的?

    18# 回复此人
  19. 2012-08-30 17:16 | wanxx ( 路人 | Rank:6 漏洞数:1 | 无)
    0

    诸多 等公开了看吧

    19# 回复此人
  20. 2012-09-03 19:17 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)
    0

    我擦,不是我找到了那个吧?

    20# 回复此人
  21. 2012-09-03 19:27 | 葉孒 ( 实习白帽子 | Rank:37 漏洞数:5 | 呵呵)
    0

    if ($val <= 0 && !is_numeric($key)) { continue; } 表示好奇

    21# 回复此人
  22. 2012-09-03 22:18 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    额 亲能负责任点不 官方也是脑子进水了???? 这你那能注入我头割下来给你们当板凳 by h3len

    22# 回复此人
  23. 2012-09-03 22:21 | saline ( 普通白帽子 | Rank:294 漏洞数:37 | Focus On Web Secur1ty)
    0

    坑爹货,官方还给rank

    23# 回复此人
  24. 2012-09-03 22:21 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @x7iao 你仔细看,这可不可以注射?哈哈 围观楼上

    24# 回复此人
  25. 2012-09-03 22:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @葉孒 @x7iao @saline 请这几位好好思考思考,甚至自己动手测试下再说别人

    25# 回复此人
  26. 2012-09-03 22:29 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    @xsser 亲 我要是没测试过会说这话? 我刚才才花时间测试了 不管是key还是value 在gpc下都会转移 测试千万遍 要是亲能成功 给出个利用方法

    26# 回复此人
  27. 2012-09-03 22:31 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @x7iao 首先,gpc=off 其次 if ($val <= 0 && !is_numeric($key)) { continue; } 是有漏洞的 我也测试过,但是请注意需要$val变量的第一个字符为数字并且大于0

    27# 回复此人
  28. 2012-09-03 22:48 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    @xsser 测试了 gpc关闭情况下确实key没被过滤 但是addslashes_deep函数是会连key和value一起过滤的 为啥这里却把key转义回来了呢 希望亲提点呀 明天割头自杀不解释 不过希望自杀前能看到回答

    28# 回复此人
  29. 2012-09-03 22:50 | 葉孒 ( 实习白帽子 | Rank:37 漏洞数:5 | 呵呵)
    0

    @xsser 别来回复,让他自杀先。。

    29# 回复此人
  30. 2012-09-03 23:24 | saline ( 普通白帽子 | Rank:294 漏洞数:37 | Focus On Web Secur1ty)
    0

    呵呵,我只是觉得忽略gpc的洞子不是好洞子。

    30# 回复此人
  31. 2012-09-03 23:34 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    @saline 不过说实话 ecshop就我个人来说是没挖出 文件全部读完了 希望各位大牛上吧

    31# 回复此人
  32. 2012-09-04 00:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @saline 新版php取消了gpc 全部为off了

    32# 回复此人
  33. 2012-09-04 00:31 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    @xsser http://www.myhack58.com/Article/html/3/62/2010/26956.htm,呵呵,解释吗。

    33# 回复此人
  34. 2012-09-04 12:32 | x7iao ( 普通白帽子 | Rank:391 漏洞数:54 | 文能床上控萝莉,武能床上定人妻)
    0

    我懂鸟 ecshop的addslashes_deep值过滤了value 我去自杀去了 各位88 以后看到这个号都不是本人 相信我!o(∩_∩)o

    34# 回复此人
  35. 2012-09-04 13:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @x7iao 把乌云币先捐了可以么

    35# 回复此人
  36. 2012-09-08 22:42 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )
    0

    后台怎么拿shell呢

    36# 回复此人
  37. 2012-09-11 11:44 | 冰锋刺客 ( 普通白帽子 | Rank:127 漏洞数:20 | 请在监护人陪同下与本人交流)
    0

    我靠,又看不了漏洞 ?

    37# 回复此人
  38. 2012-09-21 07:11 | ner ( 路人 | Rank:28 漏洞数:4 )
    0

    我擦..欺骗了我的WB...

    38# 回复此人
  39. 2012-10-22 11:53 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    sql 错误提示早就该关了!不知道官方怎么想的!

    39# 回复此人

登录后才能发表评论,请先 登录