ECShop全系列版本远程代码执行高危漏洞分析+实战提权

最新推荐文章于 2023-04-09 18:50:35 发布
最新推荐文章于 2023-04-09 18:50:35 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/82787213
版权

漏洞概述

  ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,可以直接远程写入webshell,危害严重。

漏洞评级

  严重

影响范围

  ECShop全系列版本,包括2.x,3.0.x,3.6.x等。

漏洞分析

0x01. SQL注入

  先看 ecshop/user.php:302

mark

  $back_act 变量来源于 HTTP_REFERER ,可控。

  Ecshop 使用了 php 模版引擎 smarty ,该引擎有两个基本的函数assign()、display()。assign()函数用于在模版执行时为模版变量赋值,display()函数用于显示模版。smarty运行时,会读取模版文件,将模版文件中的占位符替换成assign()函数传递过来的参数值,并输出一个编译处理后的php文件,交由服务器运行。

  在:ecshop/includes/init.php:169文件中创建了Smarty对象cls_template来处理模版文件,对应的文件是includes/cla_template.php,如下图:

mark

  我们再看 assign函数:ecshop/includes/cls_template.php:70

mark

  assign函数用于在模版变量里赋值。

  display 函数:ecshop/includes/cls_template.php:100

mark

  从函数来看,首先会调用 $this->fetch 来处理user_passport.dwt 模板文件,fetch() 函数中会调用 $this->make_compiled 来编译模板。 make_compiled 会将模板中的变量解析,也就是在这个时候将上面 assign 中注册到的变量 $back_act 传递进去了,解析完变量之后返回到 display 函数中。此时 $out 是解析变量后的html内容,判断 $this->_echash 是否在 $out 中,若在,使用 $this->_echash 来分割内容,得到 $k 然后交给 insert_mod 处理。

   user_passport.dwt 模版文件内容:

mark

  来看看 _echash 是啥,此文件28行:

mark

  由于 _echash 是固定的,不是随机生成的。(2.7版本的 _echash 值为 554fcae493e564ee0dc75bdf2ebf94ca而3.x版本的 _echash 值为 45ea207d7a2b68c49582d2d22adf953 )所以 $val 内容可控!

  跟进 insert_mod()函数,此文件1150行:

mark

  $val 传递进来,先用 | 分割,得到 $para 和 $fun ,$para 进行反序列操作,insert_ 和 $fun 拼接,最后动态调用 $fun($para) 。函数名部分可控,参数完全可控。接下来就是寻找以 insert_ 开头的可利用的函数了,在 ecshop/includes/lib_insert.php 有一个 insert_ads 函数,正好满足要求。

  最后来看动态内容函数库中的 inser

最低0.47元/天 解锁文章
张悠悠66
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ecshop系列SQL注入漏洞分析
d59hao的博客
05-04 266
referer值未加判断直接引用,可被攻击者控制输入利用_echash = “554fcae493e564ee0dc75bdf2ebf94ca” 为定值进行切分,构造payload利用反序列化漏洞,构造payload,传输恶意代码insert_ads函数的SQL拼接不规范导致存在SQL注入make_val函数拼接字符串输入,_eval中调用用户输入通过eval最终导致任意命令执行
127.网络安渗透测试—[CMS后台 getwebshell]—[ecshop3.6后台 getwebshell]
qwsn
07-11 2700
我认为,无论是学习安还是从事安的人,多多少少都有些许的情怀和使命感!!! 进入后台,访问该页面:抓包,送入repeater模块,改为post模式,把此时请求体的act=edit_templates,放到get处请求体写入以下内容:(写入test.php,密码为a) ,然后点击订单列表—>点击查看—>点击,从而生成test.php蚁剑访问连接...
漏洞预警 | ECShop系列版本远程代码执行高危漏洞
weixin_30907935的博客
09-03 126
2018年9月1日,阿里云态势感知发布预警,近日利用ECShop系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势。该漏洞利用简单且危害较大,黑客可通过WEB攻击直接获得服务器限。 漏洞原理 该漏洞产生的根本原因在于ECShop系统的user.php文件中,display函数的模板变量可控,导致注入,配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作,直接可以获得服务器的...
ECSHOP版本注入漏洞分析
11-25 3980
ECSHOP版本注入漏洞分析   2014-04-03 10:34:52|  分类: Pentest-skills |举报 |字号 订阅           下载LOFTER 我的照片书  | 初学PHP,看了两天语法,找了ecshop版本注入漏洞分析,以小菜的角度沿着大牛的思路来前
ecshop常见漏洞
10-30
ecshop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库;跨站攻击; ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞ecshop的后台编辑文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生;ecshop的后台编辑文件/admin/shophelp.php中 shopinfo.php ,对输入参数$_POST['id']未进行正确类型转义,导致整型注入的发生;ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入;ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库; ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入;ecshop的/includes/lib_insert.php文件中,对输入参数未进行正确类型转义,导致整型注入的发生。
ECshop漏洞利用工具
11-11
ECshop漏洞利用工具 专门挖掘ECshop漏洞利用工具的漏洞,所以很好很强大的哦
ecshop代码+茶叶商城模板+后台+微信H5授+微信支付+支付宝支付
07-27
软件名称 软件版本号 操作系统 Linux Web服务器 Nginx(推荐) >= 1.8.0 Apache PHP版本 5.5.25 MYSQL >= 5.5.42 Memcached >= 1.4.2 PHP扩展 memcached fileinfo openssl Zend Guard Loader
ECShop_V2.6.2_UTF8_Release0326.zip
02-04
然而,这个版本存在一些重要的安问题,特别是关于"ecshop2.2 ecshop2.x代码执行漏洞"的标签所及的,这是一个对系统安性构成威胁的重要知识点。 1. **代码执行漏洞**:在ECShop V2.6.2中,存在代码执行漏洞,...
ECSHOP需求分析说明书.doc
05-18
ECSHOP 需求分析说明书 ECSHOP 需求分析说明书是电子商务平台的需求分析文档,旨在详细说明 ECSHOP 系统的需求和设计思路。本文档从项目概述开始,逐步介绍了 ECSHOP 系统的开发目的、项目建表、数据库设计和功能...
最新ECshop支持php高版本 多模板套源码
07-01
ECShop是一款广受欢迎的开源电子商务系统,主要用于搭建B2C类型的在线购物平台。这款系统以其易用性、灵活性和强大的功能著称。标题到的"最新ECshop支持php高版本 多模板套源码"意味着这个版本ECShop已经经过...
ECShopV3.6操作大
09-17
ECShopV3.6操作大ECShop用户手册,ECShop常见问题集锦,ECShop去版ECShop数据库结构,ECShop二次开发
ecshop密码找回PHP执行代码
04-22
为了确保ECShop系统的安性,开发者应遵循最佳实践,比如使用预处理语句防止SQL注入,使用哈希加盐技术存储用户密码,以及定期更新系统以修复任何已知的安漏洞。同时,对用户进行安教育,醒他们不要使用相同...
ecshop漏洞复现分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-17 1389
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 ecshop漏洞复现分析我看seebug上关于它的漏洞有好多。 xianzhi-2017-02-82239600(SQL注入/远程代码执行) 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二次漏洞”,通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了
ECShop 2.x/3.x SQL注入/远程代码执行漏洞
最新发布
SwBack的博客
04-09 1379
ecshop 漏洞主要是因为 user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.不需要登录即可远程写入webshell。
ecshop 2.x/3.x sql注入/任意代码执行漏洞
whatday的专栏
07-01 2056
影响版本Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二次漏洞”,通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行。 值得一的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安分析者认为该漏洞不影响ECShop 3.x,这个是因为在3.x的版本里有引入防注...
getshell工具下载批量ecshop4.0版本通杀工具下载
zdaskmfhsrgkena的博客
04-07 2824
下载:http://www.mediafire.com/file/w0bkjb55w9jnpr0/EcShop4.0.zip/file EcShop4.0版本以下的漏洞利用工具,配合url采集器根据关键字挖掘出网址导入到这个工具里,批量测无敌,适合自动shell小兄弟。 ...
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 漏洞复现
ADummy的博客
02-24 754
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包—>脚本生成poc—>Burpsuite修改referer字段—>有回显 0x01漏洞介绍 ​ ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0
Nginx+PHP+Mysql+ECShop网站部署(新).docx
04-23
Nginx+PHP+Mysql+ECShop网站部署(新).docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值