! ~" N7 q9 N4 o7 f) i0 l
2 o: K; l- ?- O5 @) Z0 I
e {3 I$ @# g M4 F* o
! ]$ H2 x/ s" @# N. T8 o 1、 发现注入漏洞
) j3 b+ c- Z6 u$ F/ khttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: ( J! l5 {4 k& C. k$ p, z; w" \$ w% M
( B4 T8 P" b$ @" g1 x
利用k8工具自动分离账号和密码 % i; {* `$ T8 K7 }/ W5 m) `# A
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径 # h x! E) M4 m8 ^( Y8 H _
$ i) F* h' a: C3 p, p. [2、xss跨站获取网站后台 $ ~0 \0 [ C! [1 f. [( d, t" f
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
% q! R3 e( [ f3 q8 l m - x, K, A7 g7 K6 p; [
0 F' ~. p8 R0 y. g2 q 2、 如图: ' n. r( U2 ?% S% |
2 S+ T( A- K& d' z
5 {" O" A5 w1 ^7 n. G没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图: 8 Y' U P$ P* ~
9 ]7 P. b" Y+ h5 ?
+ b6 W! g4 c: W' l
3、不使用账户密码登录后台
) E; x& N4 m0 S5 X5 s 0 ~9 J1 J! h5 k4 F& t" n( H
ecshop2.7.x的cookie过滤不严漏洞
( p w5 M* q6 m" V5 iecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
. c& U, D S/ `' l) ^2 a1 p下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
. n; o& `) r) W/ l/ L9 V 3 G) d0 b' f1 b
. d8 `: v* H O( I- u/ [
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
9 O) o% F( ]! M; W+ U) e2 [+ k7 c然后适用k8飞刀打开,先设置普通cookie,如图就登录了: 3 O- v/ v M# f# u5 Y9 C$ c2 w) _
) M& ~% F/ C$ [8 E$ n ; w M2 N" n2 G; S! H
4、后台getwenshell
( U3 p; X# a0 ^+ O. c% U8 k , |7 h* Y6 z& m3 ]. l
在后台库项目管理-myship.lbi-配送方式里写入一句话如图: ) K+ s2 _2 {* B/ l0 \0 |
7 w4 f# K7 D2 H0 U5 j
+ I! y9 ^( C7 @4 I) N+ ?- `: I
4 ^, S: {6 w: a* Y( l菜刀打开如图:
/ W4 c4 \! c1 s( H/ l * A+ t) f( I3 ^1 Z2 b. p% Q' Y
- R5 f3 r3 {5 M! m9 b7 h执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图: 2 p' X6 p" H3 }
3 O: b" W5 D9 u7 q1 P1 W: s
9 P6 x6 Z" ^- y0 i3 A2 m! {
' f0 f' Q% f% e4 _( R0 x% m
3 T4 Y: ^/ f' H" F* U6 x; {0 `# k . F, @ m0 b6 b, w* `/ [) z
" y3 c* G. a7 k( ?# p3 F : w4 l0 j B% |, o% B3 u ~, y
8 ^' h2 z5 |4 U
. a$ U5 U8 I8 I+ l9 u
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! , E, I' r+ F+ F9 @( P5 P3 {0 U
. b& i5 B. h: I% w$ l; g- b9 _ m0 S# h2 n( m9 r' J" k. p2 C5 z7 E
1 R; v9 a# j! D3 Z, A) F; h, c
|