ECShop 4.0反射型XSS漏洞分析

前言: Ecshop是国内的一款开源的电商框架,在国内应用较为广泛,当前新版本为4.0.0,最近对其代码进行了简单的分析,发现可以绕过其filter触发XSS。

一、漏洞利用方式

发送GET请求包如下:

 
 
 
 
  1. GET/CMS/ECShop_V4.0./user.php HTTP/1.1Referer:https://127.0.0.1" />

其中漏洞触发代码为:

 
 
 
 
  1. Referer:https://127.0.0.1" />

实现绕过过滤规则,触发XSS漏洞的效果。

二、相关环境

版本:ECShop4.0.0

漏洞类型:反射型XSS

本地环境:php5.6.27+ Apache + Mysql

三、漏洞分析

该XSS漏洞路口点在user.php文件,查看user.php:328行

在用户登入界面的处理代码中,首先变量$action赋值为login进入主体代码,若变量$back_act为空并且请求包中存在REFERER字段,则将REFERER字段中的内容赋值给变量$back_act,这是导致该漏洞的直接原因,对$back_act变量赋值过后传入assign函数进行处理,其中$smarty是模版类cls_template的实例化:/includes/init.php:170行

所以查看assign函数时跟进到模版类cls_template中查看:/includes/ cls_template.php:70行

对传入变量名和变量值进行变量注册,我们可以传入非数组数据对$back_act进行变量注册,注册完毕回到user.php代码,继续跟进模版类中的display函数:/includes/ cls_template.php:100行

调用fetch函数进行user_passport.dwt文件的页面显示,也就是显示用户登入页面,其中在user_passport.dwt文件中:

$back_act值被赋值给input标签中的value,所以我们控制了$back_act变量值便可以在html页面中插入js代码。

四、绕过全局Waf触发XSS

Ecshop中定义了全局安全过滤规则,查看代码:/includes/safety.php

这个过滤规则比较简单粗暴,利用’on[a-zA-Z]{3,15}’ 过滤了所有的on开头js事件,所以用事件触发是较为困难了,并且

其中javascript:alert(‘Cyc1e_test’)可以绕过xss过滤规则的匹配从而绕过服务端的安全过滤植入html页面中,经过html编码解析会恢复成javascript:alert(‘Cyc1e_test’),从而触发执行,效果如图:

通过点击图片可以直接触发

漏洞绕过触发的方式不仅有的。

五、总结

漏洞挖掘主要在于一定的技术基础,充分的经验积累以及一些运气所在,挖掘的漏洞不在大小,每一漏洞都是一次成长,新手挖掘文章,希望大牛们批评指正。

网站栏目:ECShop 4.0反射型XSS漏洞分析
当前URL:http://www.shufengxianlan.com/qtweb/news12/477212.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联