Ecshop后臺(tái)拿shell方法總結(jié)

方法一:龍兒心發(fā)明的,版本未定,估計(jì)都行。
進(jìn)入后臺(tái)-系統(tǒng)設(shè)置-Flash播放器管理
可以上傳任意文件。
[includes/fckeditor /editor/filemanager/connectors/php/config.php文件對(duì)Media沒有任何限制,直接Type=Media 上傳你的webshell,訪問路徑為http://target/images/upload/Media/xxx.php]
方法二:另外一種是利用ecshop后臺(tái)的數(shù)據(jù)庫備份功能
這里選擇自定義備份,目的是使你備份出來的文件盡量的小,要是太大的話也很麻煩。
然后去前臺(tái)留個(gè)言,內(nèi)容是我們的一句話木馬,接著在后臺(tái)選擇備份ecs_feedback這張表,就是存放留言的表,如圖:
然后會(huì)顯示備份成功。
但是ecshop備份的文件都強(qiáng)行會(huì)在你填的備份的名字后面加上.sql擴(kuò)展名(元備份名我填的是l4yn3.php),如圖。
這么做無非就是提高安全性,可是設(shè)計(jì)者忽略了一個(gè)問題,如果php是在apache下運(yùn)行的,利用apache的文件解析漏洞這種方式形同虛設(shè)。
因?yàn)閍pache有個(gè)漏洞就是對(duì)文件名是1.php.sql這種形式,只要最后的文件擴(kuò)展名是apache不能能解析的,他就會(huì)按照php文件來解析它,那在這里sql文件就是apache不能夠解析的文件,那么他理所當(dāng)然會(huì)把這個(gè)文件當(dāng)作php文件來執(zhí)行。
所以如果是apache+php的話,即使文件名變成了上面這樣,也可以正常解析,你所需要做的就是點(diǎn)一下備份后的鏈接。
所以您看出來了,這種拿shell的方式是需要你的環(huán)境是apache+php的。而且還有個(gè)條件是GPC魔術(shù)轉(zhuǎn)換不能開啟,所以也很雞肋。
方法三:ecshop后臺(tái)有一個(gè)功能是sql查詢,如圖:
其實(shí)感覺在一個(gè)管理系統(tǒng)的后臺(tái)放這么個(gè)功能根本沒用,有多少網(wǎng)站管理員有這么高的覺悟,會(huì)用這個(gè)?
不過也不錯(cuò),便宜了我們小菜拿shell。
方法就像phpmyadmin一樣直接操作sql語句導(dǎo)出一句話木馬拿shell。
語句如下:
show databases;
use 數(shù)據(jù)庫名;
create a(cmd text not null);
insert into a(cmd) values('<?php eval($_POST[cmd]);?>');
select cmd from a into outfile '導(dǎo)出路徑';
drop table if exists a;
很常規(guī)的語句。也許有人會(huì)問不知道網(wǎng)站路徑怎么辦,那要導(dǎo)出到哪呢?這里有一個(gè)技巧就是 use 數(shù)據(jù)庫名; 這句話,其實(shí)在這個(gè)sql查詢功能中默認(rèn)用的數(shù)據(jù)庫就是本網(wǎng)站的數(shù)據(jù)庫,開發(fā)者設(shè)計(jì)的時(shí)候不會(huì)考慮你去use 其他的數(shù)據(jù)庫,所以這里你用"use 數(shù)據(jù)名庫"這句時(shí),會(huì)產(chǎn)生一個(gè)警告,但并不影響sql的運(yùn)行,卻可以成功爆出網(wǎng)站的路徑,多次測(cè)試均成功,如圖:
這樣就爆出了路徑,用于導(dǎo)出。
但是有個(gè)問題是你最后outfile文件時(shí)如果不是mysql的root權(quán)限,是沒有權(quán)限導(dǎo)出的,所以這種方法必須要求你的mysql權(quán)限為root。
方法四:這招簡單方法拿shell
進(jìn)后臺(tái)。如下步驟:
插一句話,點(diǎn)確定之后訪問http://www.***.com/myship.php
這個(gè)方法的原理據(jù)說是ECSHOP的smarty模板機(jī)制是允許直接執(zhí)行php代碼,從而導(dǎo)致漏洞產(chǎn)生。我的smarty沒什么了解,不過會(huì)努力的。
ps:遇到了個(gè)linux的,權(quán)限限死,不給運(yùn)行,直接插到頁面里直接運(yùn)行!
第五種:oldjun大牛提供的據(jù)說條件更苛刻我就不轉(zhuǎn)了,需要時(shí)大家自己找吧!
逍遙復(fù)仇點(diǎn)評(píng):二、三種方法都有一定的前提條件,一、四如果通殺蠻爽的,大家自行測(cè)試!~
本文由逍遙復(fù)仇(http://www.cqzh.cn/)辛苦整理,轉(zhuǎn)載請(qǐng)注明,謝謝合作~!
相關(guān)文章
thinkphp代碼執(zhí)行g(shù)etshell的漏洞解決
本文來介紹一下thinkphp官方修復(fù)的一個(gè)getshell漏洞,框架對(duì)控制器沒有進(jìn)行足夠的檢測(cè)導(dǎo)致的一處getshell,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
- 這篇文章主要介紹了SQL注入黑客防線網(wǎng)站實(shí)例分析,需要的朋友可以參考下2017-05-19
ASP+PHP 標(biāo)準(zhǔn)sql注入語句(完整版)
這里為大家分享一下sql注入的一些語句,很多情況下由于程序員的安全意識(shí)薄弱或基本功不足就容易導(dǎo)致sql注入安全問題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學(xué)2017-05-19- 對(duì)于目前流行的sql注入,程序員在編寫程序時(shí),都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會(huì)自動(dòng)的記錄下你的IP地址,提交的非法參數(shù)和動(dòng)作等,2017-04-29
XSS繞過技術(shù) XSS插入繞過一些方式總結(jié)
我們友情進(jìn)行XSS檢查,偶然跳出個(gè)小彈窗,其中我們總結(jié)了一些平時(shí)可能用到的XSS插入方式,方便我們以后進(jìn)行快速檢查,也提供了一定的思路,其中XSS有反射、存儲(chǔ)、DOM這三類2016-12-27Python 爬蟲使用動(dòng)態(tài)切換ip防止封殺
這篇文章主要介紹了Python 爬蟲使用動(dòng)態(tài)切換ip防止封殺的相關(guān)資料,需要的朋友可以參考下2016-10-08使用爬蟲采集網(wǎng)站時(shí),解決被封IP的幾種方法
這篇文章主要介紹了使用爬蟲采集網(wǎng)站時(shí),解決被封IP的幾種方法的相關(guān)資料,需要的朋友可以參考下2016-10-08