20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

<div class="blogpost-body" id="cnblogs_post_body">
<h1 class="col-article-title">Ecshop 2.x/3.x SQL注入/任意代码执行漏洞</h1>
影响版本：
 Ecshop 2.x
 Ecshop 3.x-3.6.0
漏洞分析：
该漏洞影响ECShop 2.x和3.x版本，是一个典型的“二次漏洞”，通过user.php文件中display()函数的模板变量可控，从而造成SQL注入漏洞，而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中，从而实现了任意代码执行。 值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响ECShop 3.x，这个是因为在3.x的版本里有引入防注入攻击的安全代码，通过我们分析发现该防御代码完全可以绕过实现对ECShop 3.x的攻击（详见下文分析）。 注：以下代码分析基于ECShop 2.7.3
SQL注入漏洞分析：
首先我们看一下漏洞的起源点 user.php ，在用户login这里有一段代码：
<div class="cnblogs_code">
 <pre class="blockcode">/* 用户登录界面 */
elseif ($action == 'login')
{
if (empty($back_act))
{
 if (empty($back_act) && isset($GLOBALS['_SERVER']['HTTP_REFERER']))
 {
 $back_act = strpos($GLOBALS['_SERVER']['HTTP_REFERER'], 'user.php') ? './index.php' : $GLOBALS['_SERVER']['HTTP_REFERER'];
 }
 else
 {
 $back_act = 'user.php';
 }

}

$captcha = intval($_CFG['captcha']);
if (($captcha & CAPTCHA_LOGIN) && (!($captcha & CAPTCHA_LOGIN_FAIL) || (($captcha & CAPTCHA_LOGIN_FAIL) && $_SESSION['login_fail'] > 2)) && gd_version() > 0)
{
 $GLOBALS['smarty']->assign('enabled_captcha', 1);
 $GLOBALS['smarty']->assign('rand', mt_rand());
}

$smarty->assign('back_act', $back_act);
$smarty->display('user_passport.dwt');
}</pre>
</div>
Ecshop使用了php模版引擎smarty，该引擎有两个基本的函数assign()、display()。assign()函数用于在模版执行时为模版变量赋值，display()函数用于显示模版。
smarty运行时，会读取模版文件，将模版文件中的占位符替换成assign()函数传递过来的参数值，并输出一个编译处理后的php文件，交由服务器运行。
可以看到 $back_act 是从<span style="font-

20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

浏览过的版块