|
# e4 z, [1 u6 b5 h! G
1 o" `; w9 _: l" {$ u0 c9 ] , T3 S# q" \. X; o H. ]- u
6 |- V, M% N6 d
1、 发现注入漏洞
7 X3 [, O' b; X d! P# k
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
' l" ?4 }/ Q# R
4 `$ M, k7 n& o; @0 h; T利用k8工具自动分离账号和密码
5 b& A; o4 b" C6 J, |( F
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
|" s' Z$ _- e( Y: y1 _
\8 t) i' }3 V5 D( s6 N" H1 ^ F2、xss跨站获取网站后台
7 r) v$ g* d- e- w$ W/ D) ]' B
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
" I; P2 M- V$ g) m, a! o: D 9 ]( |; |' I* b3 ]* q* b' A
; K, l' g c/ |5 p+ r8 C: b
2、 如图:
( ]1 f( Q# n- @- r/ r$ ~, G
1 p% C' W2 S6 L. T3 i; w' l4 M, j
8 H: u2 s! ?, I; ^: M
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
# @9 {( }% l8 }; X
% w( ?. x! p* C% q) \# A1 J7 _
; t$ ]; B3 X4 V" K" r
3、不使用账户密码登录后台
" F+ x ^: Z) c# h1 w
* ?7 i7 @0 K/ ^1 I, D Mecshop2.7.x的cookie过滤不严漏洞
( Y: G1 g, L* Z9 C6 f6 |
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
% I2 m5 N1 G) } Q* t下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
2 Q% ^2 M! b# O" z( F
1 X# X4 I& C5 x2 F4 g( B8 Z
/ g! u1 F# \1 k: [% O
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
0 P+ _. x d# d4 `. D4 m: o
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
9 B q0 R6 D2 [
) O. O6 P2 B& I. D* |
) o. O ^# S5 }7 R4、后台getwenshell
$ c/ k( f9 f( D7 d B9 R# n" ]
# O$ C/ S( Y% L+ y& {
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
' p! A$ t. ]3 {/ b& R
! G! e* l7 B$ v4 w# J
: ?- d! [2 c4 i- L2 T5 `0 @
, \9 i( U1 ]0 ~$ {9 I7 ?) ]菜刀打开如图:
) O- H$ O6 r3 F: m
2 d. K/ l: C4 ^& x! B* P
( \5 s+ P3 t6 U6 \: Y9 j$ O
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
% h1 }2 S- Q) N: Q0 r$ ]4 p" B/ D" d7 S + c/ }# O# u# `% c2 t
/ V; N1 A, U3 Y/ f- x4 C
+ l- m& G) x, ]3 M
; U$ H# z1 [9 k; Q ! I) R" d9 r. o9 r2 Z' K
& E; V' j; P* ^! \. K# w
; f+ Z& I6 j( ~% q/ [
- j, i. I; Z/ ?+ v3 K; C$ I. A
9 B6 e& {0 k& v+ y
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! K5 t7 @5 z p# A0 B. ~) k
5 \2 y4 e: Y+ W% K" N- ~6 x- \. ?3 v8 }# X1 E, i( `
5 M% I$ G( g4 Z: M& T. _9 Z | 
发表于 2022-3-31 02:03:40
收藏
分享
支持
反对