找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1751|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

5 N- u' L3 W4 [4 h p4 B
9 E0 B% r" [- w( ~* \2 e

& {- |4 o" L" |& Y

f6 }& m$ ?* K4 L 1、 发现注入漏洞
. ]9 Q3 x0 V/ h4 b4 w
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
9 g+ e; ~7 K$ T# N3 D: `% R7 f. R
11-1.png
; E$ |( a$ f( N8 m' k9 Y
利用k8工具自动分离账号和密码
6 ~9 F# y* k2 i0 D7 k9 x. u# Z u
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
; B3 }8 U$ I- O8 M. p( ^
8 s i4 j- J9 ?6 p& _2
xss跨站获取网站后台
3 E! v" ^* A4 ~8 n! p
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 * ]$ A1 M& g6 e: R4 q$ w

, I4 M8 t' i; V) P5 q9 K

$ A* \ b& j/ b$ H 2、 如图:
# G8 O3 r5 q- U1 H1 t- F
8 L( ]; _$ ?) ?' O% C3 ]7 n O0 D
2 J0 B9 f% m, \1 B4 ], m
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
* T, L/ r3 [9 s
3.png
G$ t9 o0 M0 r1 Z% V/ z
: |1 p8 A# ^1 P 3
、不使用账户密码登录后台
1 H/ H: {- o* B, ~1 N3 ?) d
; h8 q3 Z7 W8 a- }, Kecshop2.7.x
cookie过滤不严漏洞
& {+ r: F. W( Q1 O, N$ tecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
6 i h, O! e6 b
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
4 _" a5 m3 a# Z) Z) ^- R: p5 i3 p
4.png
; {5 u1 F/ U7 y& K
/ H4 C4 f) f1 M1 \4 [8 ^
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
' j' \) M( s* }- r$ L
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
8 a* e1 [! K) n0 b6 B/ P: J
5.png
$ v9 z4 O6 S+ s8 U8 M* O# c6 Q
0 d9 f w7 Y$ ]# z4
、后台getwenshell
/ T) U" h4 C- \% ` r: B
0 v" X9 Y- ~% O( l/ D( z6 ]
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
# N4 U, O" e9 D' r
8 C7 C% L/ ^2 k2 `
6.png
2 H& J, z( {; J' r
2 q0 s) U8 {5 S# O
菜刀打开如图:
' d o3 j9 T2 |" k& I5 I. D
7.png
, e% X. b! V- z# |0 f& @. ^& g" h
$ q- i) w# ~0 H" m) q2 p
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
4 }) H# J# c) X' i% n7 {: b9 K
8.png ; \/ z% a6 ]7 S) W3 @9 v# |

2 z9 l5 i. y8 i( u( r `7 o& |3 V, r7 X

- g2 T' E% b2 d, j O6 p( L   6 j5 p: o- h( D3 J. }

8 N) c3 W5 u! C! T, M3 `; }- v

1 }! {' {( M- d( I* ?9 n1 [   8 x/ T2 U+ @- L4 S f

+ r& H# R2 f3 z2 b9 ?. |

( p/ M! ]0 b- B# ?# J 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! % E, m1 h. w6 P9 X L

O' \! U5 }" j8 F, b

( N; Q0 Y. A6 h# M3 t) f
( G% H' u4 K3 F, F

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表