找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 ecshop之从注入、xss再到getwebshell
返回列表 发新帖
查看: 1881|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 w# I5 j: z8 a$ h2 e8 B( Y; N
3 y" @$ X l) B+ @2 N

; v3 w# y, a L7 z/ g, v

6 Q: g: K! I7 s0 o0 q, a4 ~1 B 1、 发现注入漏洞
5 A2 Y Z0 O$ B) h; `0 G- g http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
: _- [! {# b& s$ t' ? 11-1.png
/ Q- u& p4 t! e+ ?, s 利用k8工具自动分离账号和密码
4 @% P7 I; i5 S 经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
. Z; D# U! @2 G; T5 ?
/ t8 X# ^4 o1 |' b) ]3 e4 C# n/ i/ w X 2xss跨站获取网站后台
# b7 K* J$ l( `9 l: y( o 注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 / F% P5 m' K( l/ V1 }& f

# W& j. n; y7 P, y. N

$ B$ k% P) G9 f 2、 如图:
! n0 ?+ b8 p7 R6 ~
7 p5 {2 `) S3 Q- r" s% A
' E/ z5 z3 z0 |8 O& o2 y 没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
" X" r0 X+ |5 |' N$ {, q7 O3.png
: P* | k- i( K: p
$ `" \) M9 p/ w2 e" E# } Q3、不使用账户密码登录后台
) S' u- k4 ]. w' C U q9 z1 n
2 Z4 [3 K! y) `2 u' Decshop2.7.xcookie过滤不严漏洞
$ n4 x7 L/ u3 z% U2 [* P5 i ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
2 T( e$ E, a( q6 }; w6 n下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
& N# D2 G# m! R0 l4.png
1 T- V- E) z9 g
' E7 A6 S0 C }- m% ~/ n 下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
7 p4 ]$ u% M' y* Z. G然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
3 X- S/ `' c8 I; Y& F 5.png
! @, I0 P F. g$ x7 o$ X6 x
4 Z0 t) B/ C4 |# E' `% u4 G 4、后台getwenshell
3 e5 L4 _# M K6 w: D! E) R
; [1 a0 z& P D4 Y) g9 d在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
& d5 m5 P% }) w: `" g
9 O3 m) z" c; a+ k( l7 b6.png
2 ~' ^* o) w7 o1 G8 F
# ]8 Q7 ]' z1 y, I, o9 \5 J& j菜刀打开如图:
: t {% b9 B w% k; C, a7.png
6 W$ p: B2 J4 S* `' r* W j1 h
+ \! a S$ {: Z; j3 R/ ?8 u s5 }执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
* N) G: n% F$ t 8.png 5 f0 V8 w% o4 s c! ~0 W2 X

- f# [0 o! h5 G/ G& C

- x7 \ T$ f; P' D! x V/ E: Y1 s   ) n3 |0 _' m! Q/ y

4 d/ @6 v9 [7 p j5 I$ o1 N& {5 ~, J

0 c2 J7 O, r$ S( q% q   A. y! P/ s& q9 o% T9 u& J

7 c8 r, G7 t% C; X- L

! f, ?- ~" M) W) V+ U 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! ! Z/ n5 _2 a Z- z

+ r7 f, V7 {* T' w

" y( }. Z4 @9 I! `
! i& z) E5 G; I* U1 a: N

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表