找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1748|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 ~# N- Q3 j+ Q6 {5 c) T
* Q$ J8 U: a: u- N3 T

% p( }- t5 t/ |

" z8 j' x$ t. V 1、 发现注入漏洞
' r. A" \8 f8 A' t# b" ?; c
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
x1 N5 x- L. u: [
11-1.png
- i9 g7 N* j: y: Q( ]9 p. \
利用k8工具自动分离账号和密码
6 V# j, w# k. W9 S8 X, }: V9 C% m% r
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
) j$ u3 h- V& u& d( Y( ~
8 X* B( w! S4 n2
xss跨站获取网站后台
( }; f _' B6 o' [: y
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 : m. F8 M) u& g1 _ n& c! z, `' j# B

1 |! a* u' ^. ?4 e5 @; D

) ^# B8 g i+ c! y! `& l 2、 如图:
2 m& K* M& ?5 a9 M0 y" R
. I8 {5 O; P$ t5 j" X ^( Y. l" Z
' W7 l: C. i8 r+ s8 [' w/ N$ e
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
$ a; q% S$ b! i4 {8 [2 S
3.png
) o2 Y- Q# U1 s) L& A1 ?' B
+ A' f h- a# g% g3
、不使用账户密码登录后台
5 i* Q U/ @: k# x j) N G0 H
! ~6 d' p" u/ P( d5 I2 lecshop2.7.x
cookie过滤不严漏洞
% D" A8 A! W. K7 n5 z ecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
2 G+ z2 s5 b/ S
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, e; X! [) l) k% X" A- j# {- G
4.png
9 f) m$ q6 z! `1 t" o: K6 s
! S1 L3 \8 ] i$ ]- F" R* n* [6 v
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
6 _. Q7 I4 c8 y- K
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
* z+ i, n8 {, f5 D
5.png
) |1 R8 B' d; P6 `$ i
- k( G2 Q6 g! N. G0 v. ]4
、后台getwenshell
6 z4 v: y8 B) ?3 r- L1 G
, h/ h. t' `) u6 F
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
$ ^/ |3 Q. q3 b M2 d [7 h; g
& D6 d* E- ^. T3 |
6.png
. g- r8 n% E' L! }
1 \* H3 C% t- g8 S1 F. C
菜刀打开如图:
& g0 R+ Y( ^9 F! C. ~
7.png
9 I% m! U) [0 ^
. ?$ D- u/ Z/ t, a* |
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
/ b7 `& _1 }, {
8.png ; P2 ?' K, y1 p' D9 X7 e0 Q

7 I, ?- |. r; H* V

8 O; s0 J* O8 I- X   % V5 W: Y: Y9 }

6 n: A; q2 d3 J

9 r. k6 v# K9 l/ ]   - J% ?' I* F p& f3 T- u

) R$ { q5 N% r! K

3 u7 s& F$ B; b- ]' ` y4 Z 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! / Z; m4 i; g; R

7 E& l$ C% q- D- b P! ^' O5 B+ ]

, x1 J6 P+ V# T5 U- L
& a5 W) i" Q6 I$ P; |# Q

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表