方法一：龍兒心發(fā)明的，版本未定，估計(jì)都行。

進(jìn)入后臺(tái)-系統(tǒng)設(shè)置-Flash播放器管理

可以上傳任意文件。

[includes/fckeditor /editor/filemanager/connectors/php/config.php文件對(duì)Media沒有任何限制，直接Type=Media 上傳你的webshell，訪問路徑為http://target/images/upload/Media/xxx.php]

方法二：另外一種是利用ecshop后臺(tái)的數(shù)據(jù)庫備份功能

這里選擇自定義備份，目的是使你備份出來的文件盡量的小，要是太大的話也很麻煩。

然后去前臺(tái)留個(gè)言，內(nèi)容是我們的一句話木馬，接著在后臺(tái)選擇備份ecs_feedback這張表，就是存放留言的表，如圖：

然后會(huì)顯示備份成功。

但是ecshop備份的文件都強(qiáng)行會(huì)在你填的備份的名字后面加上.sql擴(kuò)展名(元備份名我填的是l4yn3.php)，如圖。

這么做無非就是提高安全性，可是設(shè)計(jì)者忽略了一個(gè)問題，如果php是在apache下運(yùn)行的，利用apache的文件解析漏洞這種方式形同虛設(shè)。
因?yàn)閍pache有個(gè)漏洞就是對(duì)文件名是1.php.sql這種形式，只要最后的文件擴(kuò)展名是apache不能能解析的，他就會(huì)按照php文件來解析它，那在這里sql文件就是apache不能夠解析的文件，那么他理所當(dāng)然會(huì)把這個(gè)文件當(dāng)作php文件來執(zhí)行。

所以如果是apache+php的話，即使文件名變成了上面這樣，也可以正常解析，你所需要做的就是點(diǎn)一下備份后的鏈接。
所以您看出來了，這種拿shell的方式是需要你的環(huán)境是apache+php的。而且還有個(gè)條件是GPC魔術(shù)轉(zhuǎn)換不能開啟，所以也很雞肋。

方法三：ecshop后臺(tái)有一個(gè)功能是sql查詢，如圖：

其實(shí)感覺在一個(gè)管理系統(tǒng)的后臺(tái)放這么個(gè)功能根本沒用，有多少網(wǎng)站管理員有這么高的覺悟，會(huì)用這個(gè)？
不過也不錯(cuò)，便宜了我們小菜拿shell。
方法就像phpmyadmin一樣直接操作sql語句導(dǎo)出一句話木馬拿shell。
語句如下：

show databases;
use 數(shù)據(jù)庫名;
 create a(cmd text not null);
 insert into a(cmd) values('');
select cmd from a into outfile '導(dǎo)出路徑';
drop table if exists a;

很常規(guī)的語句。也許有人會(huì)問不知道網(wǎng)站路徑怎么辦，那要導(dǎo)出到哪呢？這里有一個(gè)技巧就是 use 數(shù)據(jù)庫名; 這句話，其實(shí)在這個(gè)sql查詢功能中默認(rèn)用的數(shù)據(jù)庫就是本網(wǎng)站的數(shù)據(jù)庫，開發(fā)者設(shè)計(jì)的時(shí)候不會(huì)考慮你去use 其他的數(shù)據(jù)庫，所以這里你用"use 數(shù)據(jù)名庫"這句時(shí)，會(huì)產(chǎn)生一個(gè)警告，但并不影響sql的運(yùn)行，卻可以成功爆出網(wǎng)站的路徑，多次測(cè)試均成功，如圖：

這樣就爆出了路徑，用于導(dǎo)出。

但是有個(gè)問題是你最后outfile文件時(shí)如果不是mysql的root權(quán)限，是沒有權(quán)限導(dǎo)出的，所以這種方法必須要求你的mysql權(quán)限為root。

方法四：這招簡(jiǎn)單方法拿shell

進(jìn)后臺(tái)。如下步驟：

插一句話，點(diǎn)確定之后訪問http://www.***.com/myship.php

這個(gè)方法的原理據(jù)說是ECSHOP的smarty模板機(jī)制是允許直接執(zhí)行php代碼，從而導(dǎo)致漏洞產(chǎn)生。我的smarty沒什么了解，不過會(huì)努力的。

ps：遇到了個(gè)linux的，權(quán)限限死，不給運(yùn)行，直接插到頁面里直接運(yùn)行！

第五種：oldjun大牛提供的據(jù)說條件更苛刻我就不轉(zhuǎn)了，需要時(shí)大家自己找吧！

逍遙復(fù)仇點(diǎn)評(píng)：二、三種方法都有一定的前提條件，一、四如果通殺蠻爽的，大家自行測(cè)試！~