|
; y; U# n. _. I$ \' |# Q
4 r4 u. K* V- ?7 m' [
v! }) V5 D1 b- m% [5 { U, q6 t, \ w: j) U& a z
1、 发现注入漏洞
. P2 f5 i2 W4 U; R8 K* x/ N
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
4 Z4 m1 r7 W" S- |0 c7 a/ Y
: ]& f1 H" P$ ^- x( }) ?利用k8工具自动分离账号和密码
' a& A' h1 I& ` ` r
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
, z' t9 c" Y! R6 \% v5 Q2 G4 A
" d* g& M5 B; {( Y8 o+ p( h* T2、xss跨站获取网站后台
' S8 G5 I$ S7 ?0 v/ `
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
! D+ S, t. `8 A7 N* a$ B7 z
* R3 l5 m& X4 g% R
5 h E( u4 r" V: R' k" L 2、 如图:
: r' ?; ^8 n6 F8 T$ J3 K
) V; v# J/ a2 d. v2 a0 f
: B1 V. Z4 p) p2 F" e
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
! P8 D5 r d( |+ n( b; Z
& I0 q7 L' ~2 ~0 ?
+ K4 S- G: t; o1 D+ Q2 n1 C
3、不使用账户密码登录后台
z9 a6 q0 a8 u$ Z5 _7 C
" \2 N' ^ M! G; U% i* v( Zecshop2.7.x的cookie过滤不严漏洞
8 ^! o. r4 J/ \. @" u6 M: k4 iecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
- l6 k+ @( T1 J/ X# H2 X- y" H
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
% F0 g7 k) I: ^9 O& t) w
1 u5 Q+ |! a& _5 V; m$ I: _
/ R$ k0 x# c3 E! U$ A& [
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
g# J5 g M+ N9 j! a然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
* H2 o3 ^5 }* I- U, [
8 Z2 |% I8 A" _5 X! N3 G1 H
" } w6 q3 b; a4 w8 n! E) Z
4、后台getwenshell
4 ]* }1 Y# |& u& O" {+ K
* N6 T/ e: v V$ M5 d2 x; w3 n9 o在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
: s$ W% s- L; j; j' H4 p
, ^( j# T2 E3 |6 a: V
) i8 g' ^' D5 h# i7 h) U9 }
/ W- D, ^; a/ z
菜刀打开如图:
+ D; C0 l S0 R
% K, M7 p1 y2 ^- k! }9 L
/ O: o% y' r4 [/ n5 N% T执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
, x4 h& i' r( z( |/ X6 Y6 G5 A
 ( d4 n( M+ j2 o5 u
1 T4 w# E- i0 x' I0 T
/ k7 P. N$ C! d
) A0 f# X; I# O% Y3 }/ K
: k6 t* }4 l( ?8 d- K7 t: }: X" @: s- I
' G) m. z% g* }8 R+ E+ H: w# C* [
2 f# Z5 L* e2 B- F; j/ [) x/ g% S" m1 R5 w! U2 ] b
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
" C& P! t9 p4 v3 S# U ? \- D6 S* w. Z x I$ ?- Y
" w' m" C; I4 T9 }8 \$ W
; T! y$ T+ Z1 |+ h | 
发表于 2022-3-31 02:03:40
收藏
支持
反对