VULHUB ™

### 简要描述： shopex演示后台模板编辑功能未限制上传导致可利用解析漏洞建立php.php形式的文件夹获得shell ### 详细说明： 漏洞地址：http://demo.shopex.com.cn/485 官方提供了后台账号密码，登陆后发现似乎是被大家测试的多了，官方非常小心，权限限制的很严格，模板不允许编辑，并且上传后自动重新命名更换文件夹。js，php代码更是全部限制。。。 中间复杂的测试过程不多说。。直接说漏洞利用过程好了 ps:模板上传后立即点应用，回到首页随便看一张自带图片可以得到上传后的地址。 1.本地搭建shopex 2.自带的模板文件夹中创建php.php目录，将上传小马命名*.php;x.jpg，其实直接.jpg就可以了哈 3.登陆后台-页面管理-模板-上传模板 4.上传，使用模板。 5.找到目录。。。。。 6.还要说么- - 接下来 得到shell以后，发现官方限制了非常多的参数，而且禁止目录内容的读取。 把php大马进行base64解码后发现代码如下 ``` None ``` 查看本地shopex文件，构造如下地址： http://demo.shopex.com.cn/485app/sql.php?action=editfile&dir=.%2F%2Fcore%2Finclude_v5&editfile=setmgr.php 顺利读取并可编辑保存。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201212/03094543d3f4f49833db0b5d7f3cbae6c831c919.jpg" alt="485.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201212/03094543d3f4f49833db0b5d7f3cbae6c831c919.jpg)

### 简要描述： shopex演示后台模板编辑功能未限制上传导致可利用解析漏洞建立php.php形式的文件夹获得shell ### 详细说明： 漏洞地址：http://demo.shopex.com.cn/485 官方提供了后台账号密码，登陆后发现似乎是被大家测试的多了，官方非常小心，权限限制的很严格，模板不允许编辑，并且上传后自动重新命名更换文件夹。js，php代码更是全部限制。。。 中间复杂的测试过程不多说。。直接说漏洞利用过程好了 ps:模板上传后立即点应用，回到首页随便看一张自带图片可以得到上传后的地址。 1.本地搭建shopex 2.自带的模板文件夹中创建php.php目录，将上传小马命名*.php;x.jpg，其实直接.jpg就可以了哈 3.登陆后台-页面管理-模板-上传模板 4.上传，使用模板。 5.找到目录。。。。。 6.还要说么- - 接下来 得到shell以后，发现官方限制了非常多的参数，而且禁止目录内容的读取。 把php大马进行base64解码后发现代码如下 ``` None ``` 查看本地shopex文件，构造如下地址： http://demo.shopex.com.cn/485app/sql.php?action=editfile&dir=.%2F%2Fcore%2Finclude_v5&editfile=setmgr.php 顺利读取并可编辑保存。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201212/03094543d3f4f49833db0b5d7f3cbae6c831c919.jpg" alt="485.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201212/03094543d3f4f49833db0b5d7f3cbae6c831c919.jpg)