|
# ]7 |, F. m0 D; w; {. e- H
7 m$ ?# |9 n' ^+ K" I
* D. E% W) e" t1 |# i* t4 J
6 ` {* I% D+ G$ I: F9 P 1、 发现注入漏洞
8 [3 K: |- k0 }1 chttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
5 \7 a w1 _1 B1 x
% C- O) S2 Q9 J/ q1 W3 z
利用k8工具自动分离账号和密码
9 a+ U* L/ Y) k/ u0 d9 |
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
: k3 V" x- z7 J2 l5 b1 y
: ?$ l. _- q, L- l" X( \2、xss跨站获取网站后台
: E$ O. a/ q' s$ \, I: u注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
8 t# m6 K% |2 A/ z$ Z
2 | ?- M$ A2 p' _) H* ^0 _7 z; Q
" T6 F; a& U, F 2、 如图:
! O$ D4 M3 {) e+ W' S) ^2 q
4 ]% m, U3 x0 J1 A1 N: m, M* I
" X0 V% D# K7 X4 H没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
2 T8 n2 y9 X, V9 n# P
' J1 E w" x" m$ w
+ \4 F- H: w9 |3、不使用账户密码登录后台
6 [4 T4 B9 C: ~5 j& O9 u
; o. v6 L1 }3 R! v8 m$ [ecshop2.7.x的cookie过滤不严漏洞
~( n% ]/ t! O# o8 w$ X
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
2 a: N) M9 h4 q7 ]7 m' A, F# B. y
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, y0 b# t, d, ]2 J% e
( k) a, |1 B6 x" I* [: Z0 w
$ ?4 k P& F" E( x5 T( z下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
/ l& j* s( u4 D* F1 X
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
9 V4 n6 x; G" d
P `# Y( C- o f, F {6 X( K
; H2 {# f9 j4 M* n
4、后台getwenshell
; @9 ]6 i' A9 M, L6 `6 o
9 I1 k! [# y( E) s
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
) L7 X5 x( y5 |3 L
" l8 T( f2 H* ~& w4 _! C; }& Q
: F" \. j3 |* u T4 w
( Y, G& o S( T
菜刀打开如图:
( I3 b( |6 i2 o" I2 \
- X; X. ?+ r' e* ?
2 w( `- r' c% t$ g+ t8 a
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
( Y& ~7 F& p- u$ S# |
 ; \ f3 P) A4 r( S/ g1 W! _+ b
& G1 M e7 t" q! ~: b f9 s
$ I& [" p1 v5 P, I* ? T0 P 8 t9 \ h! h( [; R ~' b0 }! w1 u
; K* m& S7 s! J( N3 y; a( q
4 ]& r# Z+ ^/ U" J; }1 J
" I" `; h7 g3 M 5 |% G" _, A1 ~/ D
; M' [/ H0 B9 |! i6 A& g R. I 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 4 G0 p9 c$ X, L; r
6 _- U7 U' V8 n. }$ {7 ]
1 l5 V1 K2 l) K( K) E
! A9 i' Q9 g; W4 N* V | 
发表于 2022-3-31 02:03:40
收藏
支持
反对