MvMMall多用户系统本地文件包含漏洞 | wooyun-2014-083767| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-083767

漏洞标题：MvMMall多用户系统本地文件包含漏洞

漏洞作者：路人甲

提交时间：2014-11-21 12:07

修复时间：2015-02-19 12:08

公开时间：2015-02-19 12:08

漏洞类型：文件包含

危害等级：低

自评Rank：5

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-21：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-02-19：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

非常商城（即MvMmall多用户商城）系统为您提供快速建设区域性或行业性电子商务平台整体解决方案。涵盖商城系统软件授权、个性化功能定制、时尚界面设计、全程运营指导、以及后期技术维护，是您实施电子商务计划的坚实后盾。
适用对象：各地社区运营商、门户网站运营商、垂直行业协会、百货商场、实体购物中心、超市、各类创业团队等

详细说明：

任意文件包含:

在include/common.inc.php中
		extract( $_POST, EXTR_OVERWRITE );

首先释放了POST的中变量，

$arr_js_words = array( "script", "window", "alert", """, "'", "?", "&", "./" );
		foreach ( $_GET as $key => $val )
		{
    			$_GET[$key] = daddslashes( htmlspecialchars( strip_tags( urldecode( $val ) ) ) );
    			foreach ( $arr_js_words as $v )
    			{
        			if ( strstr( strtolower( $_GET[$key] ), $v ) )
        			{
            			unset( $_GET[$key] );
        			}
   			 }
		}
		  extract( $_GET, EXTR_OVERWRITE );

然后对get参数进行转义，编码，过滤，再释放其中的变量

$m_check_sellshow = $m_check_id = $m_check_uid = FALSE;
if ( isset( $_SESSION['user']['mvm_sess_id'] ) )
{
    $m_check_id = $_SESSION['user']['mvm_sess_id'];
    if ( $_SESSION['user']['man_shop'] && strstr( $_SERVER['PHP_SELF'], "sadmin" ) )
    {
        $m_check_uid = $_SESSION['user']['man_shop'];
    }
    else
    {
        $m_check_uid = $_SESSION['user']['mvm_sess_uid'];
    }
    $mm_adminid = $_SESSION['user']['mvm_is_admin'];
    $mvm_rank_list = $_SESSION['user']['mvm_rank_list'];
    $mvm_member = $db->get_one( "SELECT uid,isSupplier,member_money,member_money_freeze,member_point,member_class,member_image,member_name\r\n\t                          FROM `".$tablepre."member_table` \r\n\t                          WHERE uid='{$m_check_uid}' \r\n\t                          LIMIT 1" );
    if ( $mvm_member )
    {
        session_destroy( );
        show_msg( "您的资料异常，请联系管理员", "./" );
    }
    if ( 0 < $mvm_member['isSupplier'] )
    {
        $mvm_shop = $db->get_one( "SELECT shop_level,shop_name,certified_type \r\n\t                            FROM `".$tablepre."member_shop` \r\n\t                            WHERE m_uid='{$mvm_member['uid']}' \r\n\t                            LIMIT 1" );
    }
    if ( 0 < $mvm_member['isSupplier'] )
    {
        $member_level = $lang['shop_level'][$mvm_shop['shop_level']];
    }
    else
    {
        $member_level = $m_class_array[$mvm_member['member_class']];
    }
}
if ( !$m_check_id )
{
    foreach ( $_POST as $key => $val )
    {
        $_POST[$key] = daddslashes( htmlspecialchars( strip_tags( $val ) ) );
        $_POST[$key] = mysql_escape_string( $_POST[$key] );
        foreach ( $arr_js_words as $v )
        {
            if ( strstr( strtolower( $_POST[$key] ), $v ) )
            {
                $_POST[$key] = FALSE;
            }
        }
    }
    extract( $_POST, EXTR_OVERWRITE );
}

虽然这里面对POST的值又做了过滤，转义再释放变量操作，但是
当登陆状态的时候不会进入 if ( !$m_check_id ) 条件中，这时候从post中释放的变量还是保持原来的值，不会被再次覆盖。
再来看account.php：
</code>
require_once( "include/common.inc.php" );
if ( !$m_check_id )
{
move_page( "logging.php?action=login" );
}
$myshop_url = getbaseurl( "index", "", "", $m_check_uid );
$myshop_base_url = preg_replace( "/index.*|\?.*/", "", $myshop_url );
$mclass[$action] = "class="ahover"";
include( "account/".$action.".php" );
footer( );

同样在 ajax.php中：
<code>
require_once( "include/common.inc.php" );
include( "ajax/".$action.".php" );

在这里$action的值可以从POST中获取，也就是$action没有经过过滤转义操作,这样在GPC未开启的情况下就可以本地文件包含。
首先加载网站自带的ini文件:

加载上传的png图片：

漏洞证明：

首先加载网站自带的ini文件:

加载上传的png图片：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝