找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1800|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

( u5 |6 }! Z/ r3 j
+ c5 [5 ^8 _* ]8 j

) b( z( o( r$ _! \- J4 V }! A! e

! V( x: c9 W3 e" O# g! t 1、 发现注入漏洞
9 N8 _! O% g- l$ P7 ~; A
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
! s: R; m# u% N# W2 i5 p
11-1.png
( U$ \+ ]! r0 s0 o; W, t. U, c- {3 F4 E
利用k8工具自动分离账号和密码
+ Q, Z; s+ o- l- W K' f
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
: d+ z8 z. d) c) t, K' [+ ~' |& X4 q
5 f$ A: l1 }7 c) O! w2
xss跨站获取网站后台
* n! h. Z% j& l$ {. @
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 . B$ w" m( t8 z* v+ f4 D

' J% S! I( \: B$ S3 b

5 ?" j1 y5 ^4 n5 Y$ m0 L" x 2、 如图:
. e7 m" l. n% p
# R3 E1 h6 k. V' `" g* G% E
% d0 U% u. Q- z, W1 _1 y9 P
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
% W# j2 N3 ]& M, i
3.png
?* w5 A9 z9 a4 A9 ]
! X! M! V' B. j9 y+ O. C3
、不使用账户密码登录后台
3 r: i9 A$ k& }' Z5 D8 t
. u0 S( {. h0 S7 J( R$ P ecshop2.7.x
cookie过滤不严漏洞
: W. \5 n& ^2 _/ I" O2 }% [ecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
- z6 R& ^1 a8 n8 W( P
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
+ j. ]% b1 W3 g" l3 ?, F
4.png
0 S! t6 v+ d1 ?6 E6 g; c: k j3 I& Z
& d' ]' N$ I0 M+ ` a* w
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
( V8 _' T" m c3 J
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
p' i+ c: R1 z. m
5.png
! S. m. G$ g: T7 n; F0 @
- M' Z% G4 D$ b0 o8 V/ u 4
、后台getwenshell
" L; V+ X0 Z6 t5 m" M* V4 t7 _
9 x1 r5 O* `! H( ]' z: g
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
z. \. r, B( J" l9 Q$ P/ \
8 D" Z/ O* @# p, m* _6 R6 f1 a
6.png
6 k* u& {" Z4 h U; a( Y
: V/ U4 o& X' i! }1 t6 r' r2 B
菜刀打开如图:
, W% ^9 ]* X: k L+ e( }
7.png
5 D, f/ K( F2 u) j! h' |
9 @' `! k# W o+ |3 \ h
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
# P, d% w* s( q" L7 Q! M: f
8.png + T- O0 i; X$ k$ _+ X

. J) R6 q: @; w5 T0 q+ `

; A, ` z6 G. H( }; \   2 |3 u( o h- P

7 Y5 ?% z4 E% U

6 ^3 { n; T$ M u9 T: O' l! H   9 {/ ~4 }! a) |( D4 |- S) V

0 L3 f% w' h4 e6 U5 p. C$ [; u

) t7 g& @$ m. [) u" \4 @2 i+ x! ? 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 7 g0 G8 r; b b" E7 O

4 h! `3 D2 j; Z1 G; N

. I( d% s/ _; V, V) f( Z, |! |
/ A3 S, D2 v! J

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表