|
5 N- u' L3 W4 [4 h p4 B
9 E0 B% r" [- w( ~* \2 e
& {- |4 o" L" |& Y
f6 }& m$ ?* K4 L
1、 发现注入漏洞
. ]9 Q3 x0 V/ h4 b4 whttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: 9 g+ e; ~7 K$ T# N3 D: `% R7 f. R

; E$ |( a$ f( N8 m' k9 Y利用k8工具自动分离账号和密码 6 ~9 F# y* k2 i0 D7 k9 x. u# Z u
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
; B3 }8 U$ I- O8 M. p( ^
8 s i4 j- J9 ?6 p& _2、xss跨站获取网站后台
3 E! v" ^* A4 ~8 n! p注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 * ]$ A1 M& g6 e: R4 q$ w
, I4 M8 t' i; V) P5 q9 K
$ A* \ b& j/ b$ H
2、 如图:
# G8 O3 r5 q- U1 H1 t- F
8 L( ]; _$ ?) ?' O% C3 ]7 n O0 D 2 J0 B9 f% m, \1 B4 ], m
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图: * T, L/ r3 [9 s
 G$ t9 o0 M0 r1 Z% V/ z
: |1 p8 A# ^1 P
3、不使用账户密码登录后台 1 H/ H: {- o* B, ~1 N3 ?) d
; h8 q3 Z7 W8 a- }, Kecshop2.7.x的cookie过滤不严漏洞
& {+ r: F. W( Q1 O, N$ tecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
6 i h, O! e6 b下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
4 _" a5 m3 a# Z) Z) ^- R: p5 i3 p
; {5 u1 F/ U7 y& K / H4 C4 f) f1 M1 \4 [8 ^
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
' j' \) M( s* }- r$ L然后适用k8飞刀打开,先设置普通cookie,如图就登录了: 8 a* e1 [! K) n0 b6 B/ P: J
 $ v9 z4 O6 S+ s8 U8 M* O# c6 Q
0 d9 f w7 Y$ ]# z4、后台getwenshell / T) U" h4 C- \% ` r: B
0 v" X9 Y- ~% O( l/ D( z6 ]在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
# N4 U, O" e9 D' r
8 C7 C% L/ ^2 k2 ` 2 H& J, z( {; J' r
2 q0 s) U8 {5 S# O菜刀打开如图:
' d o3 j9 T2 |" k& I5 I. D , e% X. b! V- z# |0 f& @. ^& g" h
$ q- i) w# ~0 H" m) q2 p
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
4 }) H# J# c) X' i% n7 {: b9 K
; \/ z% a6 ]7 S) W3 @9 v# |
2 z9 l5 i. y8 i( u( r `7 o& |3 V, r7 X- g2 T' E% b2 d, j O6 p( L
6 j5 p: o- h( D3 J. }
8 N) c3 W5 u! C! T, M3 `; }- v
1 }! {' {( M- d( I* ?9 n1 [ 8 x/ T2 U+ @- L4 S f
+ r& H# R2 f3 z2 b9 ?. |
( p/ M! ]0 b- B# ?# J
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
% E, m1 h. w6 P9 X L
O' \! U5 }" j8 F, b
( N; Q0 Y. A6 h# M3 t) f ( G% H' u4 K3 F, F
|