|
: e2 Q, p7 I/ |* r! P6 R. r) r
0 A9 Y- J2 j. Y1 Y, }- {& z I" E4 d
, x5 q0 _9 F, }5 a. b
B) @- O. ]2 A4 i
1、 发现注入漏洞
5 h; y* I$ }- K) a5 p6 `, B
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
' S' s2 F# C+ o! F" v# @1 W: `
; e. ^8 X0 Y( f( x利用k8工具自动分离账号和密码
6 K5 _6 f9 u: W5 ^) l经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
! y) O" Z& s J. j% F
0 t$ c8 X2 F6 K/ v2、xss跨站获取网站后台
2 `9 c% x$ T, Y: I# e8 E
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 4 C* u3 S4 y- Y/ V- c* z
1 y, i' g9 @7 v" \( X
! N5 s r+ y% ]/ Y7 K4 d1 A( U; Z 2、 如图:
; t8 \4 _8 B3 p6 M* V
. |% L# z1 E( v6 D/ J
6 n& y$ `: o; X; @
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
& o9 K; z2 l* I2 b5 W* M2 P, m
. d" x+ P, O# p# V* k& x& q; o
" H$ v, y1 H0 q" W3、不使用账户密码登录后台
& P2 N& g; O0 r5 {' x2 ]
8 w$ J7 U" C- ` a. hecshop2.7.x的cookie过滤不严漏洞
; X+ v& G+ }: x+ O% X" ]" q
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
/ S) v& Z) K4 V. v下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
. L0 |1 q( o- e$ U( F) s, I
: ?* G% V. n) L0 @
% H+ |8 j' I. A6 `( k$ ^) b下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
1 p7 X& K, L5 Q5 ^! ]然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
& t8 p& E0 f$ x2 A A# F! C$ n& [. Z/ C
: b4 n- T5 m ]2 d/ M
" e {6 A+ N: u# k% \
4、后台getwenshell
) d6 P% J" S( } n
+ J0 k9 Y, g, n+ i) x* ]在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
( T H& Z5 M) ]
6 S% O5 }* S& i
* F( V; D- m# \+ b/ _- r' w3 {
! s. ^2 M' B( e8 J2 d7 I菜刀打开如图:
, O, ^$ _1 J% O$ H2 A; p9 h2 k1 @
. L( h1 |$ R0 l+ U6 R+ A
# l5 l* C$ k9 E- y9 @+ K4 i; S执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
4 t3 M" Q5 |$ c# N! J+ w9 B$ P0 r; c
6 t8 H2 P% t& Z0 t% m
0 I$ b ^% O. _4 K/ g6 a! \5 c- F' _0 ~# z" v
7 \0 g, P/ y Z3 v+ L
7 |- B( r! K2 N5 G- V& s
1 E, y! B+ R" W4 X% ?6 d $ S7 T; [& Q8 f) S% `3 ~1 O
% ?! \. z/ p7 E
: i( X2 |5 Y. O" W P0 E
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
( U" P7 g! \4 R# g9 { " Z8 c" d O; R9 E# a9 M
( i" c0 T6 V, q5 ]
3 d5 `& J( v3 F1 p% S; j* J' k | 
发表于 2022-3-31 02:03:40
收藏
支持
反对