+ M5 o, Q3 t) e( f. H! B/ g & W5 H& I% h$ c+ @
- j* I. z. K+ c1 N5 n" }
7 r2 X2 \& n# h( F' J 1、 发现注入漏洞
3 G! ~/ M/ F: K% h/ x* Jhttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: $ e* I( H' }, I2 r
: P1 p/ V* i/ H
利用k8工具自动分离账号和密码 + E& `/ [, F7 i5 d6 p
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径 1 C0 v& z, A$ ~
8 [2 i/ _0 T A! b- ^3 R
2、xss跨站获取网站后台 4 ]: x5 S$ D3 E/ m. r+ A: Y
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
* c2 L, L. B/ Z- o$ a
1 d4 b3 Z# _& I* X3 Q8 N
) ?2 K" `* \6 }- t2 z8 H) X- {' t 2、 如图:
* B; `) g' ` u* |$ K
/ U& R- K/ o# f; z" D& V* {' Y I( t0 H3 M* N- H* u. G6 ]
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
) r' B0 H! t8 Y" n1 H + F8 o; E# ]+ p6 s
. S( |/ Y3 z( A
3、不使用账户密码登录后台
) l7 O) G2 c# B% A
8 U& ?7 d# X8 D, k6 @% qecshop2.7.x的cookie过滤不严漏洞
/ u4 e) T ]: u6 \ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
/ T; V! ]7 Q/ S. ?% W* Y下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
7 s w6 K$ B! w 8 A' w2 @7 L5 v: K* i
) g* Z4 g( D) r$ s/ }
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da ! H9 Y$ O- Y+ U- |% H7 k5 N
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
* n7 ~- g( Z- s5 Z ; @ X& x. s% v; [0 {$ n
8 N0 U: J# m# U) _1 M
4、后台getwenshell 0 u8 p F' Z0 n
# X! U* N5 w4 H在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
* Q- F: b1 L& k2 x- E `% ?9 W$ |
) j8 r# g# j1 H! M) n " i0 K. r% Q( `- M
5 w4 d) Y: R. a2 j. D) |菜刀打开如图:
, l# b- G: i& c* L' v; b1 | Y2 F6 F& q! P# G# J8 H
3 s' A! i( }8 ]9 Y; N* _/ I( ?1 m
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图: 9 z2 |* D# G; t2 e2 O
/ K: \3 R% F0 f$ U5 `: u+ Q
. U3 q8 N3 ~- d; t3 b* X1 y7 ]$ h5 S
+ a$ W+ p% {6 P4 _9 j% [
& l% _, F& S& m( g
% I( i4 C+ X8 z; A! w: I. k4 y
+ L' }. `$ ^1 U: S1 C' l* T8 _ 9 D! s! f! W# v9 j. {8 F
( L( k0 Y1 e i$ r7 B2 Y; O
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 6 T$ w, W( p9 i# V# r& ~- g8 f ~- l
8 S# e( p! J" ^, j: K, b8 R
+ j; ]7 M/ u, U3 o4 i: ~- k
- d8 v. q# T. ?" H |