|
; F" O1 a% u$ }
7 z& R4 i( l" {2 g) l) p1 {
. h' \$ C- H; p- X6 g, u% Q4 S @9 n: C
1、 发现注入漏洞
# R- y: ]+ R: N; |http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
) L7 `( t# \5 Y% `
/ z& ~9 |6 q3 Z# s' p t
利用k8工具自动分离账号和密码
D5 ?9 i6 y" q) _' ^4 c- H经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
8 A; i9 g- q H3 s- `+ X
- q5 a4 J& B2 `2 C
2、xss跨站获取网站后台
N3 i; U, f/ _2 D; D/ \5 R) X( J注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 - J3 ]$ s+ f( j4 j1 z
; w# _: D1 i$ ^3 Y+ n0 \( K' I" m4 x4 N" U8 W
2、 如图:
6 z1 V% r h( ^& R- J5 ]$ o
k3 p# r* @! S6 }( ?
4 p E1 J. k% q4 X$ s" g( _
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
) Q1 g3 \ E' x2 s
4 `) g5 c" Q; C4 m# k, o
! K- M6 l- z5 \% C
3、不使用账户密码登录后台
" I" f1 K3 V( P- H) e
& ?2 `- z' g8 r( F% ?: I7 j* Decshop2.7.x的cookie过滤不严漏洞
) ?: M- V! u p! y( | M8 J0 s
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
! G2 u# \2 y! e# i+ m下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, g* Q; G+ a4 o& W7 l$ K
; I; w# D) m; R2 f, {& Y
9 \& N& \, c" O2 N8 @
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
" @0 I- N# P) H3 x% f* }+ `2 q
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
; o9 |' F) U4 G1 `, E8 m1 e
- z; [0 I) o1 F6 z9 j; f6 M
' j5 I8 y% r( q9 x8 F a) h4、后台getwenshell
3 u, Y1 a" a0 C2 S; e
$ v7 S" C! f o; N( Z, M在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
, q: k& Q5 N& J
& v W- Z3 J3 l9 \" V0 X6 X b
6 G- Z$ T8 `) O2 J* X
! g1 i4 t) i# |' n& |
菜刀打开如图:
' `! x# [2 |+ T# w' H# @7 w. j6 e
5 s2 w1 x; n0 W3 E: K2 q8 W
7 f. u4 A) A, ?: A执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
' y& t# W5 T+ G, I 5 N' j+ H! `" x% [
2 C3 b( ~4 m7 t. ^! I/ ]" C& U
" n& y# {0 z! [! q, D I $ b+ f I' g/ ]1 N4 y/ q& c4 ?
# A4 N+ w/ m* N, ?
4 t8 r, x D( |; G$ p0 I
3 k9 D) E' X" T) M . h/ ]4 |# U- S9 K% c8 j) @
3 h& j2 k9 v: s ^- J" V
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
2 {' s- |, {2 }$ B! |8 T8 d. M* F
6 }8 k1 I; e I- V5 i: o
, h! Y Y9 G5 D; K6 ]
+ P) D& o2 L3 q+ h$ v2 m \
| 
发表于 2022-3-31 02:03:40
收藏
支持
反对