中国网络渗透测试联盟

标题: ecshop之从注入、xss再到getwebshell [打印本页]

作者: admin 时间: 2022-3-31 02:03
标题: ecshop之从注入、xss再到getwebshell

+ e+ }, s' j$ {: ]
+ W7 \/ B \1 l7 p! Q- O

! p! w5 h; H( s, S0 Y# B3 {* P 1、发现注入漏洞
2 p1 w: e" f- q8 T' f1 s8 |+ q http://www.test.cn发现有ecshop2.7.x支付插件漏洞，手工测试几次都没成功（之前测试是成功的），利用k8工具爆出管理员如下：
N% U( i% x' l+ ^3 O# {1 z2 D+ a
$ V: r3 }) W; B2 N 利用k8工具自动分离账号和密码
3 S' p- d% L! y' O% ^! |, V经过各种扫描没扫描到网站后台，这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
" A! W3 a! m7 e* T
2 E# E( `. b1 i! l9 p# `( B- x 2、xss跨站获取网站后台
8 p3 w% f" k: ] Z2 X& { 注册账号，购物商品直接结算在邮箱处填写跨站代码（之前已经搭建环境测试过了，用的payload就是普通的获取cookie的代码），注:利用黑盒测试，发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞，本地搭建环境测试onmouseclick这个漏洞，需要鼠标移动到订单处才可以触发，很鸡肋，最后还是挖到点订单即可触发的xss漏洞。 / a' \: h' P( c8 M

9 ?2 ~! a, y9 U- w 2、如图：
, g) C0 `+ r# Q, W$ q
: J+ j, W" b6 ]7 n; ?4 @
# a2 b: j9 x+ x没过多久打到cookie了，由于这个xss漏洞是直接打开订单就触发，作为管理员肯定是要看订单的详情的，所以很快就上钩了，如图：
+ P+ K6 e' _" Z- ^. U( H( L! d
1 q- H7 D5 i+ c4 ~0 ]
# ]+ m: ?6 A4 A/ q K5 {3 H* ~# M 3、不使用账户密码登录后台
% u( B, U, Z+ W( T1 _
* \+ W; J5 T5 r% B mecshop2.7.x的cookie过滤不严漏洞
ecshop 有一个表ecs_shop_config ，里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93，正好我们要搞得就是其中的一个版本，所以就不用再手工注入hash_code了
* r* x* |- i& b' j下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位，记得爆出来的md5在前，如图：
' Y: o* X6 `% z2 ^" h
3 i5 m* n3 a$ B; g. q0 T# _
% {9 h/ T) L& E- y0 T% L! A# x下面我们构造一下cookie如下：ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
# X4 _* F5 I5 f( T0 ~ 然后适用k8飞刀打开，先设置普通cookie，如图就登录了：
. R: J/ E! V0 U, o, e1 s, ?- q* G
3 Z( W# M7 t0 {& R
. u& g" j3 w! i+ z7 E$ C! j1 \- b4、后台getwenshell
2 O4 i7 F# @: V2 `' k5 }: w$ h
& x$ W! n" l. d& W* g! l在后台库项目管理-myship.lbi-配送方式里写入一句话如图：
3 E R- F4 }$ W" M
3 H% g. l _1 [3 U& [4 F' S
. t [5 C8 |/ B9 s$ d
' G- A9 w: X# g菜刀打开如图：
3 r# o8 h% \7 `+ Z0 G! N# I
, v6 o3 J" f- U; w5 M& a
6 ~* E- A% R" j& U p执行命令发现2016年的主机且内核。。。提权就直接放弃了如图：
6 [: Q2 ^* i+ J" X" Y' i 9 a! `, A, D F( c1 w7 }

4 J- ~4 l( N0 |4 l4 b- E ! `0 ~; Q1 K- W o) a4 R2 z7 o$ I# G

" K- G* _/ r# k, o* X 1 I6 F# ?0 d2 M# w% c: i

+ r$ ?' { F- t/ |( x$ `& W 总结：利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值，由于无法扫描到后台，所有利用xss漏洞获取到后台地址，再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台，最后利用ecshop后台myship.lb模板getwebshell，这个项目的完成是几个漏洞的组合，只要其中一个环节不通，直接会导致渗透失败，所以尽可能的掌握一套程序存的所有漏洞，在渗透测试关键时刻是非常关键的，这就是鄙人的对这个项目的总结，谢谢大家的观看！ * F9 N" a3 |" z5 m: P" G+ F% O7 ~

- R, R; `) R6 K
1 c5 W" d& D* m

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)