当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人9年前 (2016-08-10)互联网5472

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

百度网盘给力,0.5元100G一年(附百度神奇的BT下载说明)

百度网盘给力,0.5元100G一年(附百度神奇的BT下载说明)

前两天就看到黑阔圈中流传着一张截图:用0.5元购买百度网盘原价500元的一年100G容量服务,貌似需要抓包修改,遗憾自己技术不够,那么高级的抓包工具没用过,就没奢求会得到100G网盘。突然今天登上网盘,看到有提示说:最后一天:抢100G空间...

alibabaprotect.exe是什么进程?怎么卸载?简单干掉

alibabaprotect.exe是什么进程?怎么卸载?简单干掉

自从更新了淘宝的阿里旺旺,每次用完U盘在退出的时候总是提示有程序在占用U盘,仔细看是alibabaprotect.exe程序在占用U盘里面便携浏览器进程!一次两次也就忍了,每次都这样,用火绒解除占用还失败!一个号称alibaba的保护软件,...

新浪7000万密码泄漏——下一个会是谁?

新浪7000万密码泄漏——下一个会是谁?

今天上午9点38分腾讯新闻发稿称:新浪爱问存在SQL注入漏洞,大约7000万明文存储的密码已外泄!亲爱的博友们,您有新浪微博么?赶紧去改密码吧!幸好我没有,我用的是腾讯微博——不知道下一个目标会不会是企鹅?据了解,有...

怎么屏蔽QQ空间游戏邀请-办法总会有的!

怎么屏蔽QQ空间游戏邀请-办法总会有的!

 先来看一个百度知道里面的问答:问题描述: 我都快烦死了,天天有人来邀请我,我都想找他出来KO一顿!!!!最佳答案: 你好 这个是没有办法屏蔽的、这个是别人发给你的邀请、是不可以屏蔽的这也叫最佳答案?真是太扯淡了~别人的邀请为什么...

原创VS伪原创VS抄袭——伤不起

原创VS伪原创VS抄袭——伤不起

何为原创?原创就是自己凭借自己独特的思维模式,写出与众不同的文章,或诗歌、或散文、或日志、或经验之谈、或技术交流等等,总之写出来的是自己的思想,别人无法复制,更不可能一模一样,是无价的——不管别人怎么看!什么是伪原创...

宽带运营商限制了上传速度怎么办?

宽带运营商限制了上传速度怎么办?

想上传个自己封装的GHO文件到网盘,发现上传速度奇慢,根本不像20M宽带所应有的速度。本来以为是百度网盘限制了上传速度,经过搜集资料发现,原来是宽带运营商——电信限制了上传速度!20M的宽带上传速度竟然只有2M宽带(即上传速度为250kb/...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。