|
5 [/ M; o% s* Q6 q1 Y
& G& B5 D5 a! f$ j7 s
, | N% C X/ E9 {% _
+ M( K/ f; b8 d) ~1 c' J. V 1、 发现注入漏洞
u& e" g6 x5 q% U# k8 _
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
2 j; L" k& ?. u, ]- s v
" [5 X- O( w: J
利用k8工具自动分离账号和密码
1 q& }+ d$ Z8 B* f' s0 W! t5 m9 x经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
: r" a5 d+ L9 o
& Y5 \/ n8 Q. T) q6 q: G k) u
2、xss跨站获取网站后台
, [5 M3 H- u5 V' X @& n
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
/ g$ b; ~$ O7 N8 ] ~- s' z
p0 |( J9 f5 U; l% J5 _0 ?1 k9 M* l2 z m# O# K
2、 如图:
2 n( b- [/ j0 }% ?7 K
8 l* _! Z2 m0 K" |6 I0 H( e& P
5 F1 n; F) F1 v0 z
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
' D# P2 n( S% T" x8 a; l% a
1 V! M" b N9 L' y, f
2 c5 m- m3 b5 p% j3、不使用账户密码登录后台
0 H1 Y, e' R* t; U; m& Z
. K; z1 I( G1 z7 [4 secshop2.7.x的cookie过滤不严漏洞
& s( w7 J: _" W6 ?4 Q8 S
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
2 N2 k N' i$ Z; P. P0 ?
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
0 r. D: ^* @7 K! g7 V6 e0 P F
& \- R% ~" U$ t. v
( ~9 y: v: A4 K( _
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
! P7 S; r& e3 Q4 i6 @
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
5 T1 S% [# z9 t+ m% u! L+ a" d! ~* |
$ L$ S5 {; W6 a+ N/ ?
: ^5 m# H" a4 l% s4 m
4、后台getwenshell
8 r3 h) C" _* a- E: ?3 [
* N) |, E# E+ e* a/ Y# U/ ^) D在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
* h8 \3 @& M/ ?: o0 C' I K
u! v( f) q9 D7 D0 j4 s
/ h! m6 y5 ~; @) r) ]
5 x8 }9 I% {* I7 g7 c
菜刀打开如图:
+ [/ q: V$ U6 y/ j
2 u( T4 l/ y7 z" J" I
! x/ N5 v, g5 \& F/ q$ J" @- m7 G
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
2 y5 O- }0 [4 w1 m, l
7 [' C: _: y5 {7 [5 M + @4 L8 x$ x; m* z9 \0 C( h- S
- ^+ s; `% H7 B8 @( V, u 2 m* e1 D4 r0 ^9 e, Z9 I7 N! w
, F" M1 |% \5 U: d" b3 J: l( t
+ f4 T5 m; L7 |' l% w2 U/ N
. t# x9 \" w h6 D8 L8 o
1 p. v5 V7 h# }" }$ X
% I, B, e! K$ ?9 Z3 B: x 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 0 a- Z: o7 E+ w: y' r2 _; W% X
) L% @% L% u; M2 D& ~
: z4 B0 s3 p* h
$ d3 x8 [- x3 `" E$ K' ] | 
发表于 2022-3-31 02:03:40
收藏
支持
反对