ecshop前台sql注入

这里我需要说明一下echsop具备全局的一个安全转义
全局文件:/includes/init.php

当未开启gpc后进入addslashes_deep函数内容,php在高版本后gpc处于默认关闭状态

addslashes_deep当string时直接进行安全转义,数组时递归转义,这便是ecshop的全局安全。
漏洞文件:user.php

POST获取JSON值并进行json_decode而json_decode具备绕过全局转义以及gpc的特点,也就是会吞并反斜杠。当我们提交’时会被转义成\’而这里再经过一次json_decode则因吞并反斜杠导致还原单引号所以导致我们可以输入危害内容,但下面还存在一个if的判断

判断SESSION的v_code值是否为true与no_need_vcode是否定义,因为这里用的是&&所以我们满足其中一个条件即可绕过判断,post_data是由我们json_decode后赋值的变量所以这里no_need_vcode可控绕过判断

将post_data中的mobile赋予$mobile并一下判断action是否指定为sms_get_password方法,当指定时则进入check_user方法

期间未再经过转义所以导致存在注入但ecshop在新版本后存在安全防护
安全防护文件:/includes/safety.php

 

以上为安全防护的正则内容,一看就输入可以绕过的,因为们有json_decode所以可以打乱关键字导致绕过,至于硬刚绕过,菜鸟不会。

本地复制:

  原文链接:http://www.5kik.com/php0day/621.html

相关文章

发表评论:

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。