|
( u5 |6 }! Z/ r3 j + c5 [5 ^8 _* ]8 j
) b( z( o( r$ _! \- J4 V }! A! e! V( x: c9 W3 e" O# g! t
1、 发现注入漏洞 9 N8 _! O% g- l$ P7 ~; A
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
! s: R; m# u% N# W2 i5 p
( U$ \+ ]! r0 s0 o; W, t. U, c- {3 F4 E利用k8工具自动分离账号和密码
+ Q, Z; s+ o- l- W K' f经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径 : d+ z8 z. d) c) t, K' [+ ~' |& X4 q
5 f$ A: l1 }7 c) O! w2、xss跨站获取网站后台 * n! h. Z% j& l$ {. @
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 . B$ w" m( t8 z* v+ f4 D
' J% S! I( \: B$ S3 b
5 ?" j1 y5 ^4 n5 Y$ m0 L" x 2、 如图: . e7 m" l. n% p
 # R3 E1 h6 k. V' `" g* G% E
% d0 U% u. Q- z, W1 _1 y9 P
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图: % W# j2 N3 ]& M, i

?* w5 A9 z9 a4 A9 ]
! X! M! V' B. j9 y+ O. C3、不使用账户密码登录后台
3 r: i9 A$ k& }' Z5 D8 t . u0 S( {. h0 S7 J( R$ P
ecshop2.7.x的cookie过滤不严漏洞
: W. \5 n& ^2 _/ I" O2 }% [ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
- z6 R& ^1 a8 n8 W( P下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图: + j. ]% b1 W3 g" l3 ?, F

0 S! t6 v+ d1 ?6 E6 g; c: k j3 I& Z
& d' ]' N$ I0 M+ ` a* w下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da ( V8 _' T" m c3 J
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
p' i+ c: R1 z. m
! S. m. G$ g: T7 n; F0 @ - M' Z% G4 D$ b0 o8 V/ u
4、后台getwenshell " L; V+ X0 Z6 t5 m" M* V4 t7 _
9 x1 r5 O* `! H( ]' z: g
在后台库项目管理-myship.lbi-配送方式里写入一句话如图: z. \. r, B( J" l9 Q$ P/ \
8 D" Z/ O* @# p, m* _6 R6 f1 a
 6 k* u& {" Z4 h U; a( Y
: V/ U4 o& X' i! }1 t6 r' r2 B菜刀打开如图: , W% ^9 ]* X: k L+ e( }
 5 D, f/ K( F2 u) j! h' |
9 @' `! k# W o+ |3 \ h执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
# P, d% w* s( q" L7 Q! M: f + T- O0 i; X$ k$ _+ X
. J) R6 q: @; w5 T0 q+ `; A, ` z6 G. H( }; \
2 |3 u( o h- P 7 Y5 ?% z4 E% U
6 ^3 { n; T$ M u9 T: O' l! H
9 {/ ~4 }! a) |( D4 |- S) V
0 L3 f% w' h4 e6 U5 p. C$ [; u
) t7 g& @$ m. [) u" \4 @2 i+ x! ?
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
7 g0 G8 r; b b" E7 O 4 h! `3 D2 j; Z1 G; N
. I( d% s/ _; V, V) f( Z, |! | / A3 S, D2 v! J
|