ecshop 2.x/3.x SQL注入/代码执行
| ID: | 16694 |
|---|---|
| 标题: | ecshop 2.x/3.x SQL注入/代码执行 |
| 描述: | ecshop 2.x/3.x SQL注入/代码执行 ecshop 2.x/3.x SQL注入/代码执行 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 其2017年及以前的版本中,存在一处SQL注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞。其3.6.0最新版已修复该漏洞,vulhub中使用其2.7.3最新版与3.6.0次新版进行漏洞复现。 依次安装二者,mysql地址填写`mysql`,mysql账户与密码均为`root`,数据库名随意填写,但2.7.3与3.6.0的数据库名不能相同 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | ECShop 2.x/3.x SQL注入/代码执行漏洞的复现过程及POC生成方法 |
| writeup: |
https://zhuanlan.zhihu.com/p/3839035914 ECShop 2.x/3.x SQL注入漏洞利用与代码执行验证过程 https://cloud.tencent.com/developer/article/2182731 |