|
3 ~# N- Q3 j+ Q6 {5 c) T
* Q$ J8 U: a: u- N3 T
% p( }- t5 t/ |
" z8 j' x$ t. V 1、 发现注入漏洞
' r. A" \8 f8 A' t# b" ?; chttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
x1 N5 x- L. u: [
- i9 g7 N* j: y: Q( ]9 p. \利用k8工具自动分离账号和密码 6 V# j, w# k. W9 S8 X, }: V9 C% m% r
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
) j$ u3 h- V& u& d( Y( ~
8 X* B( w! S4 n2、xss跨站获取网站后台 ( }; f _' B6 o' [: y
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
: m. F8 M) u& g1 _ n& c! z, `' j# B 1 |! a* u' ^. ?4 e5 @; D
) ^# B8 g i+ c! y! `& l
2、 如图: 2 m& K* M& ?5 a9 M0 y" R

. I8 {5 O; P$ t5 j" X ^( Y. l" Z
' W7 l: C. i8 r+ s8 [' w/ N$ e没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
$ a; q% S$ b! i4 {8 [2 S
) o2 Y- Q# U1 s) L& A1 ?' B
+ A' f h- a# g% g3、不使用账户密码登录后台 5 i* Q U/ @: k# x j) N G0 H
! ~6 d' p" u/ P( d5 I2 lecshop2.7.x的cookie过滤不严漏洞 % D" A8 A! W. K7 n5 z
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了 2 G+ z2 s5 b/ S
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, e; X! [) l) k% X" A- j# {- G 9 f) m$ q6 z! `1 t" o: K6 s
! S1 L3 \8 ] i$ ]- F" R* n* [6 v
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
6 _. Q7 I4 c8 y- K然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
* z+ i, n8 {, f5 D ) |1 R8 B' d; P6 `$ i
- k( G2 Q6 g! N. G0 v. ]4、后台getwenshell 6 z4 v: y8 B) ?3 r- L1 G
, h/ h. t' `) u6 F
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
$ ^/ |3 Q. q3 b M2 d [7 h; g
& D6 d* E- ^. T3 | . g- r8 n% E' L! }
1 \* H3 C% t- g8 S1 F. C菜刀打开如图: & g0 R+ Y( ^9 F! C. ~

9 I% m! U) [0 ^
. ?$ D- u/ Z/ t, a* |执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图: / b7 `& _1 }, {
; P2 ?' K, y1 p' D9 X7 e0 Q 7 I, ?- |. r; H* V
8 O; s0 J* O8 I- X
% V5 W: Y: Y9 }
6 n: A; q2 d3 J9 r. k6 v# K9 l/ ]
- J% ?' I* F p& f3 T- u ) R$ { q5 N% r! K
3 u7 s& F$ B; b- ]' ` y4 Z
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! / Z; m4 i; g; R
7 E& l$ C% q- D- b P! ^' O5 B+ ]
, x1 J6 P+ V# T5 U- L
& a5 W) i" Q6 I$ P; |# Q |