今天5.16日，大好日子，Friddy牛新婚大喜，发个鸡肋0day庆祝下。晚上Sec@NJ的兄弟们再聚首参加friddy同学的婚礼，flashsky与alert7等前辈悉数到场，比较开心，喝了不少酒，希望大家以后多多聚会、交流:-(

好了，这个小漏洞很鸡肋，去年除夕回家的火车上随便看代码看到的，因为是后台本地包含，一般用处不大，因为后台已经能够拿shell了，但对于极少数全站封死写权限的站点，还是小有点用处的~

很简单的本地包含，稍微看下源码：

最近风声紧，暂时不写新文章，拿两篇几个月前的老文章凑凑数。注意此篇文章区别于之前我发出的拿shell的办法：http://www.oldjun.com/blog/index.php/archives/42。

原创作者：oldjun
文章来源：http://www.oldjun.com/
注：本文已经发表在《黑客防线》2009年05期

ECShop网店系统是一套免费开源的网上商店软件，无论在稳定性、代码优化、运行效率、负载能力、安全等级、功能可操控性和权限严密性等方面都居国内外同类产品领先地位。ECShop网店系统只专注于网上商店软件的开发，因为专注所以专业，已成功为数以万计的企业和个人用户提供完美网上开店解决方案，成为目前国内最受欢迎的网上购物软件之一。ECShop前段时间暴了个注入漏洞，但进了后台后怎么获取webshell，网上没有提及。

研究了一下，ECShop后台能写入的文件不多，经过仔细筛选，我看中了integrate.php这个文件，并发现几处能利用的...

ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护，为您提供及时高效的技术支持，您还可以根据自己的商务特征对ECSHOP进行定制，增加自己商城的特色功能。（官方介绍）

ECSHOP前段时间出了个注射漏洞：http://bbs.wolvez.org/topic/67/，拿后台权限应该没有问题，但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell，无聊中我baidu、google了下，网上貌似没有拿shell的办法。好久没读代码了，无聊中下了ECSHOP最新版（V2.6.2）的源码过来读，很庆幸，给我找到一个可以直接写shell的文件。与注射一样，同样是个变化未初始化导致的问题，于是，同样只能用在register_globals为on的环境下。

integrate.php第740行起：