当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096388

漏洞标题:Iwebshop最新版SQL注入一枚

相关厂商:Iwebshop

漏洞作者: 路人甲

提交时间:2015-02-16 13:22

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Iwebshop 最新版SQL注入一枚

详细说明:

看到iwebshop在2015.01.26又更新了(v3.0.15011000),看了看更新说明,说已经修改了wooyun上的漏洞,就下下来看看是怎么修复的吧。
新的版本中添加了一个回复评论的功能,来看看这个地方是如何实现的吧。
注入一枚:POST /index.php?controller=seller&action=comment_update 这里有个id参数,id过滤不全直接加入了sql查询,文件在/controllers/seller.php的comment_update()方法中
看看代码/controllers/seller.php

function comment_update()
	{
		$id = IFilter::act(IReq::get('id'));
		$recontent = IFilter::act(IReq::get('recontents'));
		if($id)
		{
			$commentDB = new IQuery('comment as c');
			$commentDB->join = 'left join goods as go on go.id = c.goods_id';
			$commentDB->where= 'c.id = '.$id.' and go.seller_id = '.$this->seller['seller_id'];
			$checkList = $commentDB->find();
			if(!$checkList)
			{
				IError::show(403,'该商品不属于您,无法对其评论进行回复');
			}
			$updateData = array(
				'recontents' => $recontent,
				'recomment_time' => ITime::getDateTime(),
			);
			$commentDB = new IModel('comment');
			$commentDB->setData($updateData);
			$commentDB->update('id = '.$id);
		}
		$this->redirect('comment_list');
	}


id是这样获得的$id = IFilter::act(IReq::get('id'));,去看看IFilter::act
/lib/core/util/filter_class.php

/**
	 * @brief 对字符串进行过滤处理
	 * @param  string $str      被过滤的字符串
	 * @param  string $type     过滤数据类型 值: int, float, string, text, bool, url
	 * @param  int    $limitLen 被输入的最大字符个数 , 默认不限制;
	 * @return string 被过滤后的字符串
	 * @note   默认执行的是string类型的过滤
	 */
	public static function act($str,$type = 'string',$limitLen = false)
	{
		if(is_array($str))
		{
			foreach($str as $key => $val)
			{
				$resultStr[$key] = self::act($val, $type, $limitLen);
			}
			return $resultStr;
		}
		else
		{
			switch($type)
			{
				case "int":
					return intval($str);
					break;
				case "float":
					return floatval($str);
					break;
				case "text":
					return self::text($str,$limitLen);
					break;
				case "bool":
					return (bool)$str;
					break;
				case "url":
					return self::clearUrl($str);
					break;
				case "filename":
					return self::fileName($str);
					break;
				default:
					return self::string($str,$limitLen);
					break;
			}
		}
	}


因为在获取id时,$id = IFilter::act(IReq::get('id'));
act()没有指定第二个类型参数,所以,把seller_id当作string过滤,这里是数字型的,不用闭合单引号,造成注入。
测试方法:申请开店后,在商家管理页面->添加一个商品->添加规格->增加规格项
测试方法:申请开店后,登录商家管理,在商品评价里回复即可(这里先给自己的店铺添加一件商品,用另一个账号购买该商品(选择货到付款,你懂的,哈哈),然后发货,再确认收货,添加评论,回复评论)
Payload:POST提交(加速乐拦截了注入代码,只能上图片了)

payload.JPG


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟2s左右,如下图

注入失败副本.jpg


若正确,延迟3s左右,如下图

注入成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:admin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝