最近风声紧,暂时不写新文章,拿两篇几个月前的老文章凑凑数。注意此篇文章区别于之前我发出的拿shell的办法:http://www.oldjun.com/blog/index.php/archives/42。
原创作者:oldjun
文章来源:http://www.oldjun.com/
注:本文已经发表在《黑客防线》2009年05期
ECShop网店系统是一套免费开源的网上商店软件,无论在稳定性、代码优化、运行效率、负载能力、安全等级、功能可操控性和权限严密性等方面都居国内外同类产品领先地位。ECShop网店系统只专注于网上商店软件的开发,因为专注所以专业,已成功为数以万计的企业和个人用户提供完美网上开店解决方案,成为目前国内最受欢迎的网上购物软件之一。ECShop前段时间暴了个注入漏洞,但进了后台后怎么获取webshell,网上没有提及。
研究了一下,ECShop后台能写入的文件不多,经过仔细筛选,我看中了integrate.php这个文件,并发现几处能利用的...
我很少关心之类的漏洞,已经很少拿站了,遇到DZ更加只是路过,也没去过多关心DZ的漏洞或者去研究代码;前不久论坛被人留下一个shell,害我检查半天,不过既然遇到了,那就公布出来方便大家。
我先声明:
1.这个不是我首发,很多牛牛很早之前就发现了,但没人公布,ring04h牛那貌似有个:http://ring04h.googlepages.com/dzshell.txt,估计知道的人很多了,我研究的少,知道迟了,惭愧惭愧;
2.我从拿到shell的IIS日志知道这里可以利用,即styles.inc.php这个文件,于是看了下,找到利用办法。后来经flyh4t提醒,居然与ring04h的那个方法一样,我落后了...
好了,不废话,看代码:
<?php
......
if($newcvar && $newcsubst) {
if($db->result_first("SELECT COUNT(*) FROM {$tablepre}stylevars WHERE variable='$newcvar' AND styleid='$id'")) {
cpmsg(st...
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。(官方介绍)
ECSHOP前段时间出了个注射漏洞:http://bbs.wolvez.org/topic/67/,拿后台权限应该没有问题,但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell,无聊中我baidu、google了下,网上貌似没有拿shell的办法。好久没读代码了,无聊中下了ECSHOP最新版(V2.6.2)的源码过来读,很庆幸,给我找到一个可以直接写shell的文件。与注射一样,同样是个变化未初始化导致的问题,于是,同样只能用在register_globals为on的环境下。
integrate.php第740行起:
if ($_REQUEST['act'] == 'sync')
{
$size = 100;
......
$tasks = array();
if ($task_del > 0)
{
$tasks[] = arr...
