专业微信:OXID eShop两处缝隙剖析

访客5年前 (2020-01-05)黑客工具825

RIPS在OXID eShop软件中检测到了一个高危缝隙，未授权侵犯者可以运用该缝隙在几秒之内远程接收运用默许配备的政策站点。此外处理面板中还存在另一个缝隙，侵犯者可运用该缝隙获取服务器的远程代码实行（RCE）权限。这儿建议用户赶快升级到最新版别。
OXID eShop是源自德国的一套电子商务内容处理系统，许多龙头企业（如Mercedes、BitBurger以及Edeka）都在运用企业版OXID eShop。在本文中我们将剖析如安在默许配备的最新版OXID eShop（6.3.4）中，以未授权侵犯者身份取得远程代码实行权限。
侵犯进程可参阅此处视频，我们可以拜访此处拜访RIPS系统剖析成果。

0x01 SQL注入缝隙
这款电子商务软件中存在一个SQL注入缝隙，可以通过未授权远程会话运用，运用进程无需依靠政策端进行特别配备。
每逢用户检查某款产品时，服务端就会通过_getVendorSelect()办法结构一个SQL查询句子，发送给底层数据库。
源文件：source/Application/Model/ArticleList.php
protected function _getVendorSelect($sVendorId)
{
    ⋮
    if ($this->_sCustomSorting) {
      $sSelect .= " ORDER BY {$this->_sCustomSorting} "; // line 1087
    }
    return $sSelect;
}
而服务端会在之前的代码中调用setCustomSorting()办法，设置_sCustomSorting特点，通过该特点结构出ORDER BY SQL句子（上述代码第1087行），随后这会成为侵犯者的一个注入点。
源文件：source/Application/Component/Locator.php
$oIdList->setCustomSorting($oLocatorTar

[1][2]黑客接单网

get->getSortingSql( // line 131
    $oLocatorTarget->getSortIdent()));
在上述代码片段第131行，自定义排序特点值会被设置为getSortingSql()办法的回来值，而服务端会在FrontendController类的getSorting()办法中调用getSavedSorting()办法来设置这个值。
源文件：source/Application/Controller/FrontendController.php
public function getSorting($sortIdent)
{
    ⋮
    if ($sorting = $this->getUserSelectedSorting()) {
    /*...*/
    } elseif (!$sorting = $this->getSavedSorting($sortIdent)) {        // line 1424
    &nbs

标签: 专业微信:OXID eShop两处漏洞分析