木马是怎样攻入Ecshop商城的

木马是怎样攻入ecshop商城的~

fck编辑器可能性最大。

要防止SQL注入其实不难，你知道原理就可以了。所有的SQL注入都是从用户的输入开始的。如果你对所有用户输入进行了判定和过滤，就可以防止SQL注入了。用户输入有好几种，我就说说常见的吧。文本框、地址栏里***.asp?中？号后面的id=1之类的、单选框等等。一般SQL注入都用地址栏里的。。。。如果要说怎么注入我想我就和上面的这位“仁兄”一样的了。你只要知道解决对吗？对于所有从上一页传递过来的参数，包括request.form 、request.qurrystring等等进行过滤和修改。如最常的***.asp?id=123 ，我们的ID只是用来对应从select 里的ID，而这ID一般对应的是一个数据项的唯一值，而且是数字型的。这样，我们只需把ID的值进行判定，就可以了。vbs默认的isnumeric是不行的，自己写一个is_numeric更好，对传过来的参数进行判定，OK，搞定。算法上的话，自己想想，很容易了。但是真正要做到完美的话，还有很多要计算的。比如传递过来的参数的长度，类型等等，都要进行判定。还有一种网上常见的判定，就是判定传递参数的那一页（即上一页），如果是正常页面传弟过来就通过，否则反之。也有对' or 等等进行过滤的，自己衡量就可以了。注意一点就是了，不能用上一页的某一个不可见request.form("*")进行判定，因为用户完全可以用模拟的形式“复制”一个和上一页完全一样的页面来递交参数。

　　Ecshop是一套网络商城建站系统，主要服务于想快捷搭建商城系统的用户，该系统是个人建立商城的主流软件。
　　在网络上，主要有两种类型的网络购物，一类是像淘宝这样的C2C站点，另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外，还有很多规模较小的B2C站点，由于这些中小型B2C站点数目较大，因此每天的成交量也非常可观。
　　这些的中小型B2C站点通常没有专业的建站团队，站点都是站长通过现成的商城程序搭建起来的，其中Ecshop网络商城系统用得最多，因此一旦这套系统出现安全问题，将会波及网络上所有采用这套系统建立的B2C站点。
　　但不幸的事情还是发生了，Ecshop出现了严重的安全漏洞，黑客可以运用 该漏洞入侵站点，窜改商品价格，更令人担忧的是该漏洞可以被用来挂马，所有访问商城的用户都会中毒，他们的各种账号和密码可能被盗。此外，黑客可以修改站点的支付接口，用户购买商品时货款会直接打到黑客的账户中。
　　本文主角：Ecshop商城 V2.5.0
　　问题所在：含有SQL漏洞
　　主要危害：用于挂马、入侵服务器等
　　Ecshop存在SQL注入漏洞
　　运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽，没有对User.php文件中的SQL变量实行过滤，从而导致SQL注入的发生。黑客可以构造特殊的代码，直接读取存放在站点数据库中的管理员账号和密码。
　　漏洞的运用 非常基本，只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。
　　挂马流程揭秘
　　第一步：寻找入侵目标
　　在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1)，可以找到很多符合条件的站点，随便挑选一个站点作为测试目标。须要留心的是，站点越小安全防护也越弱，成功率相比较较高。

　　第二步：获得管理员账号和密码
　　打开测试站点，在其网址后输入：user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。
　　例如该站点网址为http://www.***.com/，则完整的漏洞运用 地址为：http://www.***.com/ user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。
　　输入完毕后回车，如果看到类似图2的界面，则说明漏洞被运用 成功了。在返回的信息中，可以发觉很主要的内容，包括站点管理员的账号、密码及E-mail地址。从图2可以找到，管理员账号为admin，密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的，所以看到的是一串32位长的字符，须要对这串字符实行破解才能看到真实的密码。

　　第三步：破解MD5密码
　　虽然密码经过MD5加密，但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来，打开MD5在线破解站点 http://www.cmd5.com/。
　　把这串MD5值复制到站点页面正中间的文本框中，点击“MD5加密或解密”按钮，密码原文就被破解出来了——admin1234(图3)。当然，破解MD5值靠的是运气，如果管理员将密码配置得很复杂，例如“数字+字母+特殊符号”的组合，那么就很难破解出密码原文。

　　如果MD5在线破解站点无法破解出密码原文，那么也可以采用MD5暴力破解软件来实行破解，当然耗费的时间会很长，在这里就不多作介绍了。
　　第四步：上传木马
　　既然管理员账号和密码都已拿到手，接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车，将会出现站点后台登录页面，输入管理员账号admin、密码admin1234即可登录。
　　来到后台，我们可以看到Ecshop的站点后台功能是非常多的，当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。

　　
　　这时我们会来到一个上传图片的页面，在这里不仅仅可以上传图片，还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马，点击“确定”按钮即可将木马上传(图5)。

　　上传成功后，进入“轮播图片地址”，在这里我们可以看到上传的木马的的路径(图6)。

　　将地址复制到浏览器地址栏中并打开，可以在里面任意浏览、修改甚至删除站点中的文件(图7)，最后就是在站点首页中插入挂马代码，当用户浏览商城首页的时候，就会激活病毒，病毒会偷偷地入侵用户的计算机。
　　

　　防备方案
　　要修补该漏洞，须要对User.php文件中的SQL变量实行严格的过滤，不允许恶意调用变量查询数据库。普通读者在上网时，最好运用能拦截网页木马的安全辅助工具，防止网页木马的骚扰。

可以利用漏洞进行攻入的
还可以利用程序文件放木马的，
很多方式的，

---

开封市13041671792： 木马是怎样攻入Ecshop商城的 - ？
林翁阿诺： Ecshop是一套网络商城建站系统,主要服务于想快捷搭建商城系统的用户,该系统是个人建立商城的主流软件.在网络上,主要有两种类型的网络购物,一类是像淘宝这样的C2C站点,另一类是像卓越这样的B2C站点.B2C站点除了卓越、当...

开封市13041671792： 木马是怎么入侵的呢? - ？
林翁阿诺： 病毒木马入侵招数 一、修改批处理 很古老的方法,但仍有人使用.一般通过修改下列三个文件来作案: Autoexec.bat(自动批处理,在引导系统时执行) Winstart.bat(在启动GUI图形界面环境时执行) Dosstart.bat(在进入MS-DOS方式时执行...

开封市13041671792： 我的ecshop网站被人挂了很多链接怎么办?？
林翁阿诺： 你去掉了是没用的,过两天还会补上的..说明你网站被人拿webshell了,也就是人家有修改你网站FTP任意文件的权限,所以你要修好漏洞同时找出所有被黑客藏在你网站文件内大马(可以修改你空间文件的根源)、小马(供上传大马所用)、甚至有用心的黑客留了一句话木马(可以上传大、小马),清除不容易,怪平时没有安全意识.

开封市13041671792： 盗号木马是怎样工作的?？
林翁阿诺： 首先你机子中了木马,然后当你输入账号密码时,你的账号密码要发送到相应的服务器进行核对,在次同时,木马病毒开始工作,将你的账号密码,复制一份 同时发给 盗号人的邮箱中,这样他就知道你的账号和密码了!

开封市13041671792： 盗号木马是怎样传播的?？
林翁阿诺： 有些是在一些垃圾网站上绑着恶意木马进程的,一登这些网站,你电脑就自动下载了木马,他就自动进入进程,偷你的输入资料...再有就是不认识的人给传的文件里有这样的恶意木马进程..效果一样,你打开就玩完~注意电脑安全就没什么~不要登游戏里那些领奖的网站.注意电脑安全.绑个密保...基本上不会被盗的~

开封市13041671792： 木马病毒是怎么来的? - ？
林翁阿诺： “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件...

开封市13041671792： 木马的工作原理及现象是怎样的?？
林翁阿诺： 键盘记录木马 这种特洛伊木马是非常简单的.它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码.据笔者经验,这种特洛伊木马随着Windows的启动而启动.它们有在线和离线记录这样的选项,顾名思义,它们分别记...

开封市13041671792： 木马的原理是什么啊?？
林翁阿诺： 一、木马的隐蔽手段 1.隐蔽木马加载的手段可以说是千变万化.但木马都是为一个目的,那就是骗取用户运行它,以运行它的服务产,端程序.随着互联网技术的发展,越来越多的技术为木马所利用.javaScript\VBSrcipt\ActiveX\XML......等等等...

开封市13041671792： 一般盗号的木马是怎样工作的 - ？
林翁阿诺： 你好: 盗号木马一般通过以下方式获取信息:1.键盘记录2.截屏 建议:1.虚拟键盘2.经常对自己系统进行扫描(反病毒)3.对本机进行日志分析 卡巴斯基的虚拟键盘可以防止键盘记录和截屏. 卡巴斯基Eric