|
& _& J$ @* Y3 D$ w
/ [4 e0 y" o+ C$ m% B& a# r
# _- i( O$ y$ Y5 l8 q) i4 j/ {
6 O% f8 y7 e0 B, f1 s 1、 发现注入漏洞
3 F& u4 e1 H# J$ S" O( Yhttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
& ~" S* z: ~; x
; k8 q* V5 x; W0 U
利用k8工具自动分离账号和密码
1 P: P/ d5 ^! e2 U. e2 }! S+ A( g
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
( k& p5 S2 s+ z# l: Y# o6 N0 d$ S& Q
2 D+ S! G4 \% t4 t$ m
2、xss跨站获取网站后台
0 Y% W* B, f# Z/ E注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
" b, |7 D2 V4 l- z y
0 O4 p0 v# r" j; p$ \" O- r( W
2、 如图:
1 z+ y* L) P7 x& F3 `2 `' ]! Y! j
' n3 ] G/ Z( V9 i
( r* A& U0 l$ B2 ]: r9 |7 w
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
. R7 W! r# ]& a; w+ F
8 g. A5 t& e* b& T6 i
4 l: c3 |) w- S3、不使用账户密码登录后台
8 K, G2 z# E8 [7 L$ d( _
2 u i1 U: u: T& g' ^2 {6 Pecshop2.7.x的cookie过滤不严漏洞
" x+ t( a- h o
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
# d. D3 q0 @/ T
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
) S4 F: B* {4 P% M* y. F/ \
y; N i- _5 Q' ]8 ?9 e) Z
( L) @4 S; y3 N8 L& [, G( q下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
1 B3 j' V8 P* `! M/ x7 u然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
' V6 y8 R4 m) v9 W
5 A9 X1 n0 a* U3 @" U9 G$ R
$ D v5 h9 M. T: v6 \
4、后台getwenshell
; @+ e0 y- v" l' w- ?, r7 H+ ^2 x
7 @, a) ^! A3 {: d5 I8 z2 a
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
7 z1 [* L$ ^. L5 G
' }9 p( `2 b9 }# _7 C+ t& |0 ~
% f- I8 l9 l1 P
6 e6 C# k7 {# T1 a0 A
菜刀打开如图:
& U0 F7 s4 f5 k
' B! i4 \6 |, _6 y: P
, @% e% h+ L9 O D/ x" `
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
- L1 V3 h h1 U) S
 / c2 F: r; q% c. m4 w! b9 s
) _- C0 b6 a' w8 c: S4 g% g% | l# p7 t! \+ R$ E
8 o# \0 c7 `& ]8 j5 ^2 y
- z C1 ]7 b9 K) E+ m, Z
# f/ C3 H6 a- A! J9 b! @ @ h
. n- [2 I9 y* V8 W( f ' P$ g6 t I6 C' [( k0 ^2 e7 D
& Q0 I/ b8 G2 G2 _* q' W u
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
6 s _8 z6 ?# \& d # Q6 K! X {' |6 f: M8 L! i
2 |: ]. f! L" ^; T1 Y! K( I
9 e0 W; r4 ]/ Q1 W; L2 F" p
| 
发表于 2022-3-31 02:03:40
收藏
支持
反对