漏洞背景
ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。2018年6月13日,知道创宇404积极防御团队通过知道创宇旗下云防御产品“创宇盾”防御拦截并捕获到一个针对某著名区块链交易所网站的攻击,通过分析,发现攻击者利用的正式ECShop 2.x版本的0day漏洞攻击。于2018年6月14日,提交到知道创宇Seebug漏洞平台并收录。
随后于2018年8月31日,ID为“ringk3y”研究人员在其博客公开这个漏洞,并做了详细分析,该分析收录在Seebug Paper。
漏洞分析
ECshop V2.7.3 源码下载地址:https://www.mycodes.net/44/819.htm
安装过程设置:数据库名称为ECshop、管理账号密码:admin、admin123
这里Mac环境搭不起这个cms,可能太久远了。Windows虚拟机上用phpstudy 搭建也不成。