当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人8年前 (2016-08-10)互联网5061

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

谁动了我的账号?又一轮账号泄露风潮再起!这次是淘宝的!

谁动了我的账号?又一轮账号泄露风潮再起!这次是淘宝的!

昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等,已经有多个白帽给乌云君提供了漏洞影响证明,涉及大量互联网企...

不可抗拒力量,壁虎漫步停止所有运营!

不可抗拒力量,壁虎漫步停止所有运营!

今天一打开浏览器就提示:不可抗拒力量,壁虎漫步停止所有运营!又一款免费好用的科学上网插件离我们而去了……比较稳定的使用了一年多,没想到也会是这种结局,那些收费的科学上网插件怎么不见被封啊?非常感谢这一年多来插件作者给我们提供的方便,在此感谢...

排名第一的词居然没了排名,原来被挂黑链!

排名第一的词居然没了排名,原来被挂黑链!

前几天在查看客户网站关键词排名情况时,发现没有了排名,首页收录也没有了。服务器在香港,也没感觉到紧张,以为是百度抽风也就没有管他。谁知道好几天过去了,一直没有排名,我就觉得有点奇怪。神马情况?难不成以前做的外链被看成是作弊被惩罚了?不太可能...

Struts2高危漏洞,又一轮大规模脱裤行动开始——该改密码的赶紧的

Struts2高危漏洞,又一轮大规模脱裤行动开始——该改密码的赶紧的

又是一个血雨腥风的夜晚~今夜不知道有多少程序员要加班加点的打补丁,又不知道有多少黑阔在彻夜不眠的给人家脱裤子~Struts2今天曝出高危漏洞,又一轮大规模脱裤行动开始了~看看下面的这些大站吧,所谓的大站在这样的漏洞下也无力还手~2013-0...

百度搜索小创新:搜索下拉框官网直达

百度搜索小创新:搜索下拉框官网直达

今天使用百度搜索无意间看到这样一个现象,搜索某品牌(大品牌)的关键词时,出现了这个品牌的Logo及品牌名,并且点击可以直达官网!这样的体验还算是不错的!可以避免很多刷百度搜索下拉框带来的不良影响。貌似只有大品牌才会有这样的下拉框,一般小品牌...

怎样开通百度口碑?

怎样开通百度口碑?

今天在松哥博客上看到了关于百度口碑的文章,也进去看了下。可是打开百度口碑,直接是要评论百度的,怎样才能评价自己想评价的网站呢?看看左边有两个栏目“大家都在评”、“热门排行”,里面的网站可以点进去评价。可是怎么查找自己想评价的网站呢?细细研究...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。