|
# q" y3 y `7 a1 a! O
( Y2 j/ e* B5 R. j0 I# r. D
1 d1 r3 C0 n2 {
0 F9 {9 q8 L5 a$ e1 X 1、 发现注入漏洞
s8 D5 L. i' t% E( n
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
# ~! V3 R8 n' g( M+ f5 f9 T) J
! P a& D1 C" X" m1 @# g" y利用k8工具自动分离账号和密码
5 Q2 k9 g0 L$ \/ V+ \- ~$ d
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
$ Y6 d6 d' M% j. L
+ [" G+ h0 Q' G) V* x5 Q1 F5 ]2、xss跨站获取网站后台
, I# T/ A. }* |7 ]. P( I) m注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
+ b! ~- D: p9 t8 B$ }
+ J8 A; F$ Z/ ^0 G) ^+ F
9 u7 M! W# C" ^9 s7 x7 A 2、 如图:
! b# m% |2 T# z# D9 }1 q# ?/ M
( u; k$ I7 F7 X) ^9 E2 [$ t+ p' R
& Z) [1 G! w& ^/ z# e3 I' @没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
. G* }7 Y& v5 B I
* N6 {: k6 ?0 V8 D
) \' h* F( Y# [+ b3、不使用账户密码登录后台
! W O# `/ |; ?0 Y3 d* Z: i. q
- ?9 V( l2 f; ^ecshop2.7.x的cookie过滤不严漏洞
0 b1 I1 |9 G" t' r1 @
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
" i6 [$ I- P! m( G
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
2 R1 ~' P7 F* u% C2 v* H
& I! w3 I9 h- K/ i! n% F, \
+ e/ ]* R, j* d下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
5 y3 c6 d' b6 g6 J然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
. r) C. n: y# m) u$ Z6 j4 N9 }
; w/ e7 P. u [' A6 ]" N9 S
3 f3 Q9 N' ?* [# l$ D4、后台getwenshell
9 c {+ `% J" y- c
8 @4 j) t2 j; N在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
0 s' v! N8 a' v' k k& C
) k6 k- X, W; Z0 P) n) @" y
3 V5 u( z1 J% W$ W/ {0 T
# Z. D4 Q# I/ n/ _( }# f' [$ {6 V( m菜刀打开如图:
' p, b. \- P. y2 s7 h3 A+ `3 h! \4 Y) g2 B
q" o$ p9 L3 H4 ~$ {
5 o9 u& a( Y& ]% O- d' e, a/ B
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
. w e8 c* [: R ! h) X6 [- l' s' h3 s, ^
: P6 C C- R1 c0 s' v. e
& ~' }1 F- q% p
' q8 r& g: M+ w! m5 l2 c' T
# M6 V( y: B1 O8 r
# D: w8 A) \$ l8 O
7 M5 \5 d. X. n3 x
5 h% B4 ]; M# |3 {1 H d. R, A! j \5 f" m2 M8 ^
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
$ \0 Y; n! H8 w8 J9 a7 E r - h+ r1 o3 d. }& ]8 s, R
- ]+ x N) n$ E4 {$ f. P
9 r% M& s$ a0 Z | 
发表于 2022-3-31 02:03:40
收藏
支持
反对