ecshop加密
㈠ 如何解決ecshop虛擬卡出現星號問題
在所有的ecshop的版本當中,網站搬家或者使用linux主機,虛擬物品卡號密碼全部變成***很突然。沒有進行任何後台改動。添加新產品的卡密也是如此
分析ecshop,我們發現
發現是/admin/virtual_card.php里 有關於星號 看程序後 發現是由include/lib_code.php關於加密解密函數控制的。
virtual_card.php 控制的代碼如下
foreach ($all AS $key => $row)
{
if ($row['crc32'] == 0 || $row['crc32'] == crc32(AUTH_KEY))
{
$row['card_sn'] = decrypt($row['card_sn']);
$row['card_password'] = decrypt($row['card_password']);
}
elseif ($row['crc32'] == crc32(OLD_AUTH_KEY))
{
$row['card_sn'] = decrypt($row['card_sn'], OLD_AUTH_KEY);
$row['card_password'] = decrypt($row['card_password'], OLD_AUTH_KEY);
}
else
{
$row['card_sn'] = '***';
$row['card_password'] = '***';
}
復制代碼
深入分析後發現
$row['crc32'] == 0 || $row['crc32'] == crc32(AUTH_KEY))
復制代碼
以及
($row['crc32'] == crc32(OLD_AUTH_KEY))
復制代碼
主要是判斷資料庫中得crc32欄位和經過crc32加密的字元串是否一致
但是發現
資料庫中的crc32字元串和crc32加密的字元串 完全不一樣所以導致了 出現卡號和卡密為星號的問題
比如我們加密字元串設置的是456 資料庫中的crc32 顯示為 2147483647 而我們直接代碼crc32出來的值為 2980627313 所以導致了 卡號顯示為三個***
其實該問題以linux 時間戳問題引起,解決辦法很簡單
UPDATE virtual_card SET crc32 = 『0』
㈡ ecshop是開源的么使用這個系統需要交納費用嗎
ecshop可以免費使用,說是開源其實也並非是開源版本,商業版與普通版本沒有區別,只是授權不同罷了,在系統使用上沒有功能限制,但是ecshop網店系統裡面有些PHP文件源碼加密了,沒法修改及二次開發,下方的Powered by ECShop v2.7.1 授權信息不可更改。 詳情見使用協議: http://www.ecshop.com/legal.php
㈢ 怎麼使用ecshop用戶密碼加密方式
ecshop的加密方式為md5(md5($password).$salt),每個用戶的salt值都是隨機生成的。
㈣ ECSHOP後台密碼忘記了怎麼辦ecshop後台密碼修改方法
好帖!ECSHOP教程網ECSHOP教程很多吼吼! 查看原帖>>
㈤ ecshop的模版,核心加密,模版沒加密,js/css沒加密。買了可以對模版進行二次修改或二次開發嗎
建議你還是用免費的模板,必競加了密的東西,只能在別人允許的范圍內修改,如果他宣傳的功能已經能滿足你的需要,那買來用也吃虧不到哪去。
㈥ ecshop 後台密碼忘記了,找了好多辦法不管用
如果你的網站上數據不多或者之前備份過數據的話,就重新安裝一下吧,把根目錄下data文件夾里的config.php和install.lock刪除,再登錄自己的網址就能進入安裝頁面了,然後根據提示一步一步安裝就行了,不過安裝後要恢復一下資料庫才能有數據
㈦ ecshop後台cmd5加密 cmd 網站上面解不了,大家幫幫忙呀!
ecshop後台用戶名的密碼忘記了怎麼辦呢,其實有一個非常簡單的方法。就是用phpmydmin這個資料庫管理工具,如果不知道如何打開可以問下空間商,因為這個工具在空間後台一般都可以打開的。
通過phpmyadmin可以輕松找回ecshop後台密碼!
步驟一:打開phpmyadmin之後,在左側選擇你現在使用的資料庫
希望可以幫到你,寫的很辛苦,望採納
㈧ 木馬是怎樣攻入Ecshop商城的
Ecshop是一套網路商城建站系統,主要服務於想快捷搭建商城系統的用戶,該系統是個人建立商城的主流軟體。
在網路上,主要有兩種類型的網路購物,一類是像淘寶這樣的C2C站點,另一類是像卓越這樣的B2C站點。B2C站點除了卓越、當當等大型站點外,還有很多規模較小的B2C站點,由於這些中小型B2C站點數目較大,因此每天的成交量也非常可觀。
這些的中小型B2C站點通常沒有專業的建站團隊,站點都是站長通過現成的商城程序搭建起來的,其中Ecshop網路商城系統用得最多,因此一旦這套系統出現安全問題,將會波及網路上所有採用這套系統建立的B2C站點。
但不幸的事情還是發生了,Ecshop出現了嚴重的安全漏洞,黑客可以運用 該漏洞入侵站點,竄改商品價格,更令人擔憂的是該漏洞可以被用來掛馬,所有訪問商城的用戶都會中毒,他們的各種賬號和密碼可能被盜。此外,黑客可以修改站點的支付介面,用戶購買商品時貨款會直接打到黑客的賬戶中。
本文主角:Ecshop商城 V2.5.0
問題所在:含有sql漏洞
主要危害:用於掛馬、入侵伺服器等
Ecshop存在SQL注入漏洞
運用 Ecshop漏洞須要用到SQL注入。由於程序員的疏忽,沒有對User.php文件中的SQL變數實行過濾,從而導致SQL注入的發生。黑客可以構造特殊的代碼,直接讀取存放在站點資料庫中的管理員賬號和密碼。
漏洞的運用 非常基本,只需在站點地址後輸入「user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*」這樣一句代碼就可以讀出站點資料庫中的管理員賬號和密碼。
掛馬流程揭秘
第一步:尋找入侵目標
在網路或谷歌中以「Powered by Ecshop v2.5.0」為關鍵字實行搜索(圖1),可以找到很多符合條件的站點,隨便挑選一個站點作為測試目標。須要留心的是,站點越小安全防護也越弱,成功率相比較較高。
第二步:獲得管理員賬號和密碼
打開測試站點,在其網址後輸入:user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
例如該站點網址為http://www.***.com/,則完整的漏洞運用 地址為:http://www.***.com/ user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
輸入完畢後回車,如果看到類似圖2的界面,則說明漏洞被運用 成功了。在返回的信息中,可以發覺很主要的內容,包括站點管理員的賬號、密碼及E-mail地址。從圖2可以找到,管理員賬號為admin,密碼為。密碼是經過MD5加密的,所以看到的是一串32位長的字元,須要對這串字元實行破解才能看到真實的密碼。
第三步:破解MD5密碼
雖然密碼經過MD5加密,但是通過破解是可以得到密碼原文的。將這段MD5值復制下來,打開MD5在線破解站點 http://www.cmd5.com/。
把這串MD5值復制到站點頁面正中間的文本框中,點擊「MD5加密或解密」按鈕,密碼原文就被破解出來了——admin1234(圖3)。當然,破解MD5值靠的是運氣,如果管理員將密碼配置得很復雜,例如「數字+字母+特殊符號」的組合,那麼就很難破解出密碼原文。
如果MD5在線破解站點無法破解出密碼原文,那麼也可以採用MD5暴力破解軟體來實行破解,當然耗費的時間會很長,在這里就不多作介紹了。
第四步:上傳木馬
既然管理員賬號和密碼都已拿到手,接下來我們就可以登錄站點的後台了。在站點網址後輸入admin並回車,將會出現站點後台登錄頁面,輸入管理員賬號admin、密碼admin1234即可登錄。
來到後台,我們可以看到Ecshop的站點後台功能是非常多的,當然這也給了我們上傳木馬的機會。點擊「系統配置 」中的「Flash播放器管理」鏈接(圖4)。打開後再點擊「添加自定義」按鈕。
這時我們會來到一個上傳圖片的頁面,在這里不僅僅可以上傳圖片,還能輕輕鬆鬆地上傳木馬!這里我們選擇一款功能強大的PHP木馬,點擊「確定」按鈕即可將木馬上傳(圖5)。
上傳成功後,進入「輪播圖片地址」,在這里我們可以看到上傳的木馬的的路徑(圖6)。
將地址復制到瀏覽器地址欄中並打開,可以在裡面任意瀏覽、修改甚至刪除站點中的文件(圖7),最後就是在站點首頁中插入掛馬代碼,當用戶瀏覽商城首頁的時候,就會激活病毒,病毒會偷偷地入侵用戶的計算機。
防備方案
要修補該漏洞,須要對User.php文件中的SQL變數實行嚴格的過濾,不允許惡意調用變數查詢資料庫。普通讀者在上網時,最好運用能攔截網頁木馬的安全輔助工具,防止網頁木馬的騷擾。
㈨ ecshop安裝好以後,後台登錄密碼錯誤,安裝時管理員密碼是123456,但是再次登錄就顯示密碼錯誤,怎麼解決
ecshop是基於php+mysql架構的,如果後台密碼忘記的話可以考慮利用mysql管理工具來鏈接你的mysql資料庫,
一個比較好用的工具就是myphpadmin,這個工具怎麼使用的大家可以去網路搜索下。呵呵,學習ecshop修改需要用到的東西還挺多的哈。
在phpmyadmin 修改商城資料庫中ecs_admin_users這個表中你管理帳號的password 值,
改成
按執行之後,密碼就變成了「admin」
㈩ shopex加密了怎麼搞
shopex好像一直都是加密的,沒有開源過,只是免費使用而已。ecshop倒是開源的,不過這回也賣給shopex公司了,200萬美元