|
# D3 p2 r7 G4 a: U( X
: D& `9 @$ B. ]6 [7 e# {- q : y( U- A& a" M2 |$ y; o
$ s* T# d, K8 n8 |9 Y8 s6 c, \7 J
1、 发现注入漏洞
: j: G( @9 `. t7 i4 u& @9 E
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
( K$ c( S' K) S8 g$ M: [# m
: z! A" Z% [5 t) Y+ \2 R6 }利用k8工具自动分离账号和密码
' r! s8 q& B& e2 f) ]经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
* G. L2 y! [4 G" s
+ h% D4 C0 L) n5 k5 p" h) J2 p
2、xss跨站获取网站后台
+ T6 q8 Y& H3 V6 O
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 5 j$ q6 s3 [! _* R' t
/ M9 ^/ t' z" J, b, q% x4 |6 s
7 G! S% q3 M9 S( c- k+ U5 L' |
2、 如图:
l9 L3 B6 m% q; J, o
9 t8 H. t$ N( c
8 i2 L3 k# @# U' {2 t
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
, U+ c9 Y0 k$ q4 S
& S* X" {4 ~+ L% Z
- G& ]2 h4 h1 r& X3、不使用账户密码登录后台
0 k. t9 n. f; j) G
9 Y H' U$ ]1 b7 @4 S6 z0 }; _ecshop2.7.x的cookie过滤不严漏洞
9 d) e1 H7 D* _ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
% _* }/ D& l: j" G" c8 D下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
# x! Q7 x! y. E E4 I* e
/ c" @8 |! d5 h4 A. c; W
! M! T( U! y) Y
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
& j" a4 \! i, `
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
8 m" V. x2 T: w+ k" o! Y @( X: {
6 B4 `+ _: J# N L7 l
& r9 k/ }; s7 P3 _% s: A. A3 m C
4、后台getwenshell
& x3 m x5 ` z' v' Y
: n( \1 k/ W* ^/ o; t在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
* z; ^) g- j+ {. ~: {6 a
: w" q- d: ?* w- d+ z3 }
; E/ R' J$ ~ {9 @2 _9 v) E; v
7 T/ K9 G1 @2 }菜刀打开如图:
! q- U) A+ s$ s. p) b& {
; `1 i$ |7 }. j O: {
" y# w) n) g; p执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
2 {( g2 ^# r! {. N: O
1 K, \* z5 E8 e8 L$ d * [0 z, S2 | K) v/ `1 Z
$ F$ }* @$ y. N j9 j" f5 X
1 _- g: l% x. t- @3 F% D0 Z* F
: L) V2 c: d% J8 J3 O, z) `" g' }- Q- b, @: t1 z8 I" y! d
0 z! d% N6 B0 Z9 d+ V
% E) N y2 G, \2 b
: ~5 _/ n2 ]$ @2 Z! V: D 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
+ D f a" c5 O+ ]2 f# z ' E! i$ R# Q1 ^8 M7 t
) P6 R. q7 w' v, y- y% ]1 |
# j- [# Z) h" C0 H, M- Z* Z" ~ | 
发表于 2022-3-31 02:03:40
收藏
支持
反对