|
5 k/ H- ~9 ^) E) L1 {0 y& F5 X
) Y! F+ u8 _( k: J% q7 x/ f , |# [7 ~, I! T3 n1 h
% ?. A: j5 x$ }- S* a' l& \
1、 发现注入漏洞
/ H5 @/ ~8 U; e. i8 w8 B! Whttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
7 Z* k( W+ n% H' N0 I0 U& K" f# a
3 D3 s; Z8 D% \
利用k8工具自动分离账号和密码
0 [* D6 E0 v/ e' s# ]
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
! q3 ?* p: }0 Y" P: |
2 A9 ^% l1 f" ~& }) N. y
2、xss跨站获取网站后台
" M. S. h2 R2 O: s5 Z' R" Z
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
$ o( s: x. h! _
4 X7 w! Z- A/ b) F& O* l; K4 n2 s
2、 如图:
2 Q" d2 H5 v4 W7 W1 z' B1 t
+ M8 q" I4 z3 h2 T2 L/ R: _+ a! P0 y
4 @$ P5 |/ X( x2 M- y
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
" P# c( Z4 a. f
1 m; |, q; q% T* `8 b/ ~$ c; |
$ q) a, k0 b( E9 W- a4 f" s. g* m
3、不使用账户密码登录后台
. E* ^7 c3 w0 C5 |
7 N1 e( z9 H6 K2 v, ~ p
ecshop2.7.x的cookie过滤不严漏洞
5 S0 N4 o7 O' u! }! e' mecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
8 v; p" g/ N% v9 x& q8 H
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
: d0 N, K5 J1 @
2 l6 |- }: U3 U3 a
+ B' e1 t$ d- N1 E
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
# c5 U( l/ O X1 V然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
! s. m+ a0 v; ] y2 o: P
7 I# w8 a8 v8 j2 O- |% R2 T7 u
, |7 L6 O' u) ]" U" e4、后台getwenshell
! t- z) K' H: W1 d, U
" r" {5 k* P, u' B y在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
7 L# k% v# z6 }8 m) u* M
* T& S8 `) I; _* V
/ `$ g; K& `! @- Z% I, z9 k/ i* L
9 b5 W; M5 U/ |( G' Y菜刀打开如图:
6 }) ?; ^* a; R
4 a3 x9 u$ Z$ \2 k" S
$ Q/ [2 B4 o( w( Y2 `执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
1 D! z: ^! _1 \; K. @6 F5 ^+ C 1 L6 t- e( U7 W- R, O6 [- L; k
& O, R1 M0 _4 L! s$ M F0 B- Y G
, B% C9 U3 s" q0 k3 v1 w: O @
3 n5 G% b% Q- J0 P$ Z9 o( z5 Y) ?5 V 7 _% r4 U! d+ b Z+ q
# P; Z4 n) Y0 T" P
3 e% U& G: @# f
& S O+ W+ W) E7 t' e# T. ?( J0 P& V1 c0 f4 X
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
. f! Q' n6 o. N/ P+ g* X
. |% S0 r. m+ I: u: K8 r( a! f$ p
1 P+ ?$ x9 d, A
/ E F- Q( d% G
| 
发表于 2022-3-31 02:03:40
收藏
支持
反对