|
( y9 `0 n" p9 [9 f" Z( c& J7 V
) f* r- X* n% G; B* Z + H9 \# F6 Y# G$ e
, Q! t9 p% S: _/ a5 n3 ] 1、 发现注入漏洞
' q2 l0 |8 o. B' G* ?% I+ G
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
% F" l+ y' n$ x! X
! f y" h3 O0 P9 F) j; ?
利用k8工具自动分离账号和密码
3 {- G( C" w* R1 J' H7 W
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
]. b; A6 C1 B2 S
, K+ O- u2 n4 R# S1 Q: a
2、xss跨站获取网站后台
0 Y; h1 K8 D3 l: A- x! A, \- k+ \注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
9 o# e3 A. w9 K6 {. D 5 H" y1 e2 X7 o; ^! E6 i
% U9 o4 j+ B0 E% `! d$ o- J( p 2、 如图:
4 ^0 h5 U/ _* r+ C1 W
! t: r1 R; \$ Y
! D+ V+ q6 u/ m+ @8 J
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
+ H2 G* M7 I! [) k7 C3 h7 o9 h1 G6 g
3 H) [, H+ N. F' ~" N
" @9 A" F- K& S+ d0 O
3、不使用账户密码登录后台
% R: n$ P3 `* s) K' e
- `1 z Y8 L2 d4 `
ecshop2.7.x的cookie过滤不严漏洞
4 S5 N% s/ p. i! M, B9 d: T/ j
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
" X ]0 K" O# n N下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
* f) y) i& r w/ N0 a. {
) o d0 ?8 l( `/ g' U
% @% d* D* f8 J; w- I& _下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
. r! b( f* k# g4 D L然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
! ]" f; V1 }$ c& ~" |
1 l& x. }. g; L9 b6 y/ J$ p
2 u7 C6 ~6 c- w4 \) W& ` ~4、后台getwenshell
* B3 T" D5 o+ m( V( K9 y1 _
3 |8 d& O( x5 h2 V& p, u
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
! P' {) q, k9 @* [% g2 S1 `. x
$ ~6 Y6 ~* N7 r9 u
! [7 G1 `, _% H
* g/ l7 {' x9 b& w
菜刀打开如图:
2 G+ r* Y# U3 H n5 q
, Q1 j- p: {/ Y) q' f( y
. m! C7 f# m" N' ^" P执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
f+ g E6 k/ @- K1 q/ r* B
( w# T3 w- e3 s$ ] 9 s; d( L( w+ p1 x
7 b: r8 r# @4 ?# M, f 4 g) ~1 ?- Q" I' A$ l1 y
0 a; L5 R3 ~2 v
- C# @) q, H; I7 ~( n- `8 m
% b, z' J1 h8 r4 D9 w1 h
. c. @3 G6 k9 p# E& O- t. o: D& I" R+ v' Z
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 7 \- X; }0 V! K) B$ X5 _! G3 j
' E- W: H; {4 S8 z: |
, t) ?% o0 ^1 ~ C8 `' B0 i% F% a, ?
7 i" ?2 j1 k! O/ S | 
发表于 2022-3-31 02:03:40
收藏
支持
反对