ecshop加密
㈠ 如何解决ecshop虚拟卡出现星号问题
在所有的ecshop的版本当中,网站搬家或者使用linux主机,虚拟物品卡号密码全部变成***很突然。没有进行任何后台改动。添加新产品的卡密也是如此
分析ecshop,我们发现
发现是/admin/virtual_card.php里 有关于星号 看程序后 发现是由include/lib_code.php关于加密解密函数控制的。
virtual_card.php 控制的代码如下
foreach ($all AS $key => $row)
{
if ($row['crc32'] == 0 || $row['crc32'] == crc32(AUTH_KEY))
{
$row['card_sn'] = decrypt($row['card_sn']);
$row['card_password'] = decrypt($row['card_password']);
}
elseif ($row['crc32'] == crc32(OLD_AUTH_KEY))
{
$row['card_sn'] = decrypt($row['card_sn'], OLD_AUTH_KEY);
$row['card_password'] = decrypt($row['card_password'], OLD_AUTH_KEY);
}
else
{
$row['card_sn'] = '***';
$row['card_password'] = '***';
}
复制代码
深入分析后发现
$row['crc32'] == 0 || $row['crc32'] == crc32(AUTH_KEY))
复制代码
以及
($row['crc32'] == crc32(OLD_AUTH_KEY))
复制代码
主要是判断数据库中得crc32字段和经过crc32加密的字符串是否一致
但是发现
数据库中的crc32字符串和crc32加密的字符串 完全不一样所以导致了 出现卡号和卡密为星号的问题
比如我们加密字符串设置的是456 数据库中的crc32 显示为 2147483647 而我们直接代码crc32出来的值为 2980627313 所以导致了 卡号显示为三个***
其实该问题以linux 时间戳问题引起,解决办法很简单
UPDATE virtual_card SET crc32 = ‘0’
㈡ ecshop是开源的么使用这个系统需要交纳费用吗
ecshop可以免费使用,说是开源其实也并非是开源版本,商业版与普通版本没有区别,只是授权不同罢了,在系统使用上没有功能限制,但是ecshop网店系统里面有些PHP文件源码加密了,没法修改及二次开发,下方的Powered by ECShop v2.7.1 授权信息不可更改。 详情见使用协议: http://www.ecshop.com/legal.php
㈢ 怎么使用ecshop用户密码加密方式
ecshop的加密方式为md5(md5($password).$salt),每个用户的salt值都是随机生成的。
㈣ ECSHOP后台密码忘记了怎么办ecshop后台密码修改方法
好帖!ECSHOP教程网ECSHOP教程很多吼吼! 查看原帖>>
㈤ ecshop的模版,核心加密,模版没加密,js/css没加密。买了可以对模版进行二次修改或二次开发吗
建议你还是用免费的模板,必竞加了密的东西,只能在别人允许的范围内修改,如果他宣传的功能已经能满足你的需要,那买来用也吃亏不到哪去。
㈥ ecshop 后台密码忘记了,找了好多办法不管用
如果你的网站上数据不多或者之前备份过数据的话,就重新安装一下吧,把根目录下data文件夹里的config.php和install.lock删除,再登录自己的网址就能进入安装页面了,然后根据提示一步一步安装就行了,不过安装后要恢复一下数据库才能有数据
㈦ ecshop后台cmd5加密 cmd 网站上面解不了,大家帮帮忙呀!
ecshop后台用户名的密码忘记了怎么办呢,其实有一个非常简单的方法。就是用phpmydmin这个数据库管理工具,如果不知道如何打开可以问下空间商,因为这个工具在空间后台一般都可以打开的。
通过phpmyadmin可以轻松找回ecshop后台密码!
步骤一:打开phpmyadmin之后,在左侧选择你现在使用的数据库
希望可以帮到你,写的很辛苦,望采纳
㈧ 木马是怎样攻入Ecshop商城的
Ecshop是一套网络商城建站系统,主要服务于想快捷搭建商城系统的用户,该系统是个人建立商城的主流软件。
在网络上,主要有两种类型的网络购物,一类是像淘宝这样的C2C站点,另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外,还有很多规模较小的B2C站点,由于这些中小型B2C站点数目较大,因此每天的成交量也非常可观。
这些的中小型B2C站点通常没有专业的建站团队,站点都是站长通过现成的商城程序搭建起来的,其中Ecshop网络商城系统用得最多,因此一旦这套系统出现安全问题,将会波及网络上所有采用这套系统建立的B2C站点。
但不幸的事情还是发生了,Ecshop出现了严重的安全漏洞,黑客可以运用 该漏洞入侵站点,窜改商品价格,更令人担忧的是该漏洞可以被用来挂马,所有访问商城的用户都会中毒,他们的各种账号和密码可能被盗。此外,黑客可以修改站点的支付接口,用户购买商品时货款会直接打到黑客的账户中。
本文主角:Ecshop商城 V2.5.0
问题所在:含有sql漏洞
主要危害:用于挂马、入侵服务器等
Ecshop存在SQL注入漏洞
运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽,没有对User.php文件中的SQL变量实行过滤,从而导致SQL注入的发生。黑客可以构造特殊的代码,直接读取存放在站点数据库中的管理员账号和密码。
漏洞的运用 非常基本,只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。
挂马流程揭秘
第一步:寻找入侵目标
在网络或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1),可以找到很多符合条件的站点,随便挑选一个站点作为测试目标。须要留心的是,站点越小安全防护也越弱,成功率相比较较高。
第二步:获得管理员账号和密码
打开测试站点,在其网址后输入:user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
例如该站点网址为http://www.***.com/,则完整的漏洞运用 地址为:http://www.***.com/ user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
输入完毕后回车,如果看到类似图2的界面,则说明漏洞被运用 成功了。在返回的信息中,可以发觉很主要的内容,包括站点管理员的账号、密码及E-mail地址。从图2可以找到,管理员账号为admin,密码为。密码是经过MD5加密的,所以看到的是一串32位长的字符,须要对这串字符实行破解才能看到真实的密码。
第三步:破解MD5密码
虽然密码经过MD5加密,但是通过破解是可以得到密码原文的。将这段MD5值复制下来,打开MD5在线破解站点 http://www.cmd5.com/。
把这串MD5值复制到站点页面正中间的文本框中,点击“MD5加密或解密”按钮,密码原文就被破解出来了——admin1234(图3)。当然,破解MD5值靠的是运气,如果管理员将密码配置得很复杂,例如“数字+字母+特殊符号”的组合,那么就很难破解出密码原文。
如果MD5在线破解站点无法破解出密码原文,那么也可以采用MD5暴力破解软件来实行破解,当然耗费的时间会很长,在这里就不多作介绍了。
第四步:上传木马
既然管理员账号和密码都已拿到手,接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车,将会出现站点后台登录页面,输入管理员账号admin、密码admin1234即可登录。
来到后台,我们可以看到Ecshop的站点后台功能是非常多的,当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。
这时我们会来到一个上传图片的页面,在这里不仅仅可以上传图片,还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马,点击“确定”按钮即可将木马上传(图5)。
上传成功后,进入“轮播图片地址”,在这里我们可以看到上传的木马的的路径(图6)。
将地址复制到浏览器地址栏中并打开,可以在里面任意浏览、修改甚至删除站点中的文件(图7),最后就是在站点首页中插入挂马代码,当用户浏览商城首页的时候,就会激活病毒,病毒会偷偷地入侵用户的计算机。
防备方案
要修补该漏洞,须要对User.php文件中的SQL变量实行严格的过滤,不允许恶意调用变量查询数据库。普通读者在上网时,最好运用能拦截网页木马的安全辅助工具,防止网页木马的骚扰。
㈨ ecshop安装好以后,后台登录密码错误,安装时管理员密码是123456,但是再次登录就显示密码错误,怎么解决
ecshop是基于php+mysql架构的,如果后台密码忘记的话可以考虑利用mysql管理工具来链接你的mysql数据库,
一个比较好用的工具就是myphpadmin,这个工具怎么使用的大家可以去网络搜索下。呵呵,学习ecshop修改需要用到的东西还挺多的哈。
在phpmyadmin 修改商城数据库中ecs_admin_users这个表中你管理帐号的password 值,
改成
按执行之后,密码就变成了“admin”
㈩ shopex加密了怎么搞
shopex好像一直都是加密的,没有开源过,只是免费使用而已。ecshop倒是开源的,不过这回也卖给shopex公司了,200万美元