shopx系列产品，可能是编程习惯问题，对上传的模板包，过滤不严，导致上传攻击文件，如果权限设置比较严，可能会失效，但是危害还是非常大的。形成这个漏洞的原因，可能是程序员的编程习惯造成的。本来想握在手里的，但是发现新的缺陷，会有更大的乐趣，就把这个缺陷扔给官方吧，希望后续修复

详细说明：

对模板上传的包里面的文件，大小写验证不全，在WINDOWS下，某些服务器不分大小写，危害比较大，还有就是利用畸形后缀名，这个危害也比较大，我正是利用这个缺陷，拿下了官方演示站的485的webshell,因为官方服务器原因，只对后缀小写的php解析，所以大写的后缀威胁不了，而畸形后缀名解析缺陷，却能成功执行php文件！
 
易开店 和shopex 4.85 肯定是存在这个缺陷的，ECOS没有测试！


看下我模板包的内容！
 
 

 
 
再看下我上传到网站后的内容
 
 
 
修复方案：

将文件名全部小写后再判断！

作者：江南的鱼