|
3 L$ u" u7 p! [8 b2 B
5 c/ Q2 s+ p1 e- C5 ]
: z3 g4 G- j% ~8 p- t) o
) e# \) n1 v7 n% X& f: `" a$ G 1、 发现注入漏洞
8 a1 j. V, D; I; j( e- H/ g/ I$ R! P
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
4 \$ F7 J2 O8 g- t( S" U8 w; a: f- c1 M
9 K V8 Q9 \" F: J: z( G( l利用k8工具自动分离账号和密码
. n* _* s/ W3 g" F2 ^0 t- i' _
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
! C) |; ` G8 u7 P
) J1 e0 \) L. ~/ h# t, i6 C
2、xss跨站获取网站后台
# p" y* _! o0 o, X# f e: I注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
% Z4 e/ @; q6 q4 Y, \0 [ 8 C# i3 k; v0 N! F1 W. G, e& `
) k; S1 \, a) n# w
2、 如图:
/ b* M W: v5 b: k2 {
* p/ j( d/ S; Q8 d
, G+ D6 w& n) ~) J
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
L! T# j3 K, w' N
# D+ Q+ R6 `6 l5 ?) n2 k6 W6 c
& h& b' f: Z: j1 s5 r8 x* w
3、不使用账户密码登录后台
* e7 M4 Z5 P: _3 N
5 j( N8 b8 @8 T- h0 Lecshop2.7.x的cookie过滤不严漏洞
2 ^( P9 k7 B$ necshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
& P% o7 a8 o- l0 `% p: n, w* ^: W下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
& G" Z1 r3 u c7 C+ \
! {" [7 ]3 n8 I$ z8 Z
" D+ S( _% L$ I& ]2 `7 K$ ^下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
U; T- l9 M2 e0 Q) ^# C/ V1 R
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
5 k; B+ [1 Z' s$ m" p+ e* Q2 z& G
+ b0 |6 c" V. x% k! j+ o5 ^
2 ~$ J) ] m O3 |4、后台getwenshell
$ b% X1 p7 C4 ~2 q
9 N8 L: x- @. u r% g( }2 F! `在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
9 [; Q! L) d% T. r0 W
9 S2 j5 t! a4 p8 G
B9 e, R4 Y0 J3 x) n1 ?
K+ z' R1 }& J" }1 |菜刀打开如图:
) i4 l: S' v; y+ N: e
0 A* U6 B6 D$ ?/ R3 f
* @ Y( Z* ]6 _4 ?% A
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
/ S: w5 q+ C- j2 a7 A
 2 u4 U% o" T+ h/ n0 g$ ~3 b
, V+ t3 y' @: G' S# H& |
8 w) w" {8 U" F, F% e4 x* u
$ B: |# j- @: w; R& k
# G5 y4 h' K+ v ]! f& H" I6 c0 A& ~& ?; ?# j
, b/ }: _/ ~ C5 ~$ ?7 h+ A
3 N2 |# d2 S0 y' v- S7 v& a: s
: C h2 j- W& x2 s# X& r6 A# i! q 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! - N/ [% y& h5 ?! V1 s
0 i/ [3 g4 c- y! k6 n6 @
4 _# x4 Q @$ Q c
6 r, L) l$ |- R; S/ |6 q# S; S# ~
| 
发表于 2022-3-31 02:03:40
收藏
支持
反对