某shop API接口前台注入(通杀3.X)

0x01 前言

TPshop是国内应用范围大、覆盖面广的电商软件产品，基于此，历经5年的时间，而发展成为国内先进的具备成熟且标准化的电商平台技术解决方案提供商。“TPshop” 的每一次新产品发布都引带头中国电商软件研发领域的潮流，持续为中国电子商务服务行业。同时公司建立了由多名科学家构成的行业及技术研究中心，对电商行业发展趋势、软件产品架构、技术性、新技术应用与创新等都做出了卓越贡献。

代码来源：

http://www.tp-shop.cn/download/

0x02 分析

跟踪到/application/home/controller/Api.php控制器中的shop方法

流程分析：

代码调试：

通过代码分析后发现$field传入方法field中，并不会将这个变量中的值预编译，而是直接带入中执行，接着来调试！在399行后添加代码如下：

getlastsql方法在tp框架中是返回SQL语句也可以说是监听，接着往下走，访问

POST包：

为longitude参数赋值为1’

可以看到程序已经抛出了异常，MySQL执行错误，最终Payload如下：

(实战中需根据字段数调整一下Payload)

漏洞复现：

查权限：

查库名：

查字段：

查用户：

(复现来源于互联网，如有打码不严还请手下留情。）

0x03 总结

代码千万条，安全第一条。开发不规范，老板两行泪。