漏洞
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
漏洞预警 | ECShop全系列版本远程代码执行高危漏洞 阿里云安全认证厂商2018-09-03共140950人围观 ,发现 4 个不明物体 漏洞网络安全
2018年9月1日,阿里云态势感知发布预警,近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势。该漏洞利用简单且危害较大,黑客可通过WEB攻击直接获得服务器权限。
漏洞原理
该漏洞产生的根本原因在于ECShop系统的user.php文件中,display函数的模板变量可控,导致注入,配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作,直接可以获得服务器的权限。
首先从user.php文件入手,代码中可以看到,系统读取HTTP_REFERER传递过来的
内容赋值给$back_act变量。
1.jpeg(/user.php)
接着以$back_act的值为参数,调用assign方法。
2.png (/user.php)
assign方法的作用是把可控变量传递给模版函数,紧接着再通过display方法展示
到页面上。接下来跟进display内部的insert_mod方法。
3.png(/includes/cls_template/php)
insert_mod方法返回了一个动态函数调用,该函数名和参数均可控,根据攻击者
的利用方法,我们可以得知调用的函数名为insert_ads,接下来跟进这一方法。
4.png(/includes/lib_insert.php)
不难发现,$arr['id']和$arr['num']这两个变量,都是外部可控的输入点,在构造攻
击向量的过程中执行的SQL语句如下。
5.png (打印$sql变量)
6.png(sql语句执行结果)
接着,程序调用了fetch方法,参数由$row['position_style']变量赋值,这一变量同样为外部可控输入点。
7.png(/includes/lib_insert.php)
这里fetch函数调用了危险函数,这就是最终触发漏洞的点。但是参数在传递之前
要经过fetch_str方法的处理。
8.png(/includes/cls_template.php)
最终输入点依次经过fetch_str、select、get_val,最终传入make_var方法。
9.png (/includes/cls_template.php)
最终传递到eval的字符串为:
10.png到此,漏洞原理分析完成,攻击者的恶意代码执行成功。
漏洞攻击利用实例
阿里云态势感知于2018年8月1日监控到云上首例此漏洞利用。黑客通过HTTP 请求头的Referer字段植入恶意代码如下:
11替换.png当黑客恶意代码成功被执行后,会尝试访问链接:’http://uee.me/MrJc‘,具体的payload代码如下所示:
12.jpg其中http-//uee.me/MrJc是一个短连接,其完整的url为:http-//www.thaihaogo.com/images/201608/4.jpg。
此文件下载到成功后会重命名为1.php,实际上4.jpg文件就是一个混淆后的php木马。
13.png去除混淆部分,将木马执行逻辑还原如下:
14.png该木马中的PHP代码会去下载一个功能齐全的WEB木马,地址为:http-//i.niupic.com/images/2017/05/26/Lfkavl.gif,该WEB木马的功能详情如下:
15.png
漏洞影响
阿里云应急中心测试发现,ECShop全系列版本(包括2.x、3.0.x、3.6.x)均存在该远程代码执行漏洞。阿里云态势感知数据研究中心监控的数据显示,该漏洞利用难度低,影响面广,并已经发现有批量入侵迹象,需要存在相关业务的用户及时关注并进行修补。
专家建议
在官方补丁没放出之前,我们建议站长可以修改include/lib_insert.php文件中相关漏洞的代码,将$arr[id]和$arr[num]强制将数据转换成整型,该方法可作为临时修复方案将入侵风险降到最低。需要修改的部分代码如下:
16png.png
(includes/lib_insert.php )
阿里云安全
阿里云安全
13 篇文章
等级: 4级
||
上一篇:延禧攻略大结局,黑产利用盗版收割红利,上亿版权巨制5块钱就能拥有下一篇:通过邮件大规模传播窃密木马的事件分析
发表评论已有 4 条评论
来来菜 2018-09-03回复 1楼
EXP和复现地址:http://www.vulnspy.com/cn-ecshop-2.7.x-rce-exploit/ecshop_%3C=_2.7.x_%E5%85%A8%E7%B3%BB%E5%88%97%E7%89%88%E6%9C%AC%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8/
亮了(4)
来来菜 2018-09-03回复 2楼
ECSHOP 3.x 命令执行 EXP: http://www.vulnspy.com/cn-ecshop-3.x.x-rce-exploit/
亮了(1)
小杰哥 (1级) 2018-09-03回复 3楼
楼上好人
亮了(0)
新世界神兽 2018-09-06回复 4楼
老实说 2个月前就在玩了 爆出这么快还是要感叹下阿里云的WAF
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
阿里云安全
阿里云安全认证厂商
阿里巴巴集团云安全官方
13
文章数
1
评论数
最近文章
因为看见,所以发现:QBotVariant谢绝落幕
2018.11.14
T级攻击态势下解析DDOS高防IP系统架构
2018.11.06
预警 | 删库跑路加勒索,Redis勒索事件爆发
2018.09.11
浏览更多
相关阅读
漏洞预警 | 微软Patch Tuesday修复三则重要漏洞漏洞预警 | ECShop全系列版本远程代码执行高危漏洞
利用HTC One漏洞破解手机PIN密码Office漏洞袭来(CVE-2018-0802)详细分析高能预警!警惕EnMiner挖矿大开杀戒
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论