|
* |9 ~* Y% o, d3 M7 p# S
/ |& e6 K3 S( C$ k! A
) @* |) w. R# C2 \/ L% [: U- @9 [8 L1 S4 K) b4 d
1、 发现注入漏洞
& ^' p- G7 _3 s8 f8 ~# A6 R0 ^http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
* }- Z! C) U6 _- q
+ J4 G% I5 J* k+ u4 E$ d; t利用k8工具自动分离账号和密码
/ i8 C- j' q- i3 k6 K* z5 ?) A经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
6 I) n4 ~4 X7 O5 f8 T
/ Z! |' s/ [1 {2、xss跨站获取网站后台
5 M- K$ k- q+ S2 j: t- |8 n+ s6 A注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 # ^! ^! F9 C4 `
" U% [6 ^3 J5 `: y' c" a! i0 J8 {
* \# q& q2 j8 I# }0 A/ a1 N
2、 如图:
# N! E: i$ o6 j4 e+ c+ `
5 Y) b% ?& I/ X) S
% A# X, c5 r9 p) w8 y# n% Z% Y
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
: q8 e( d( i9 M, A6 |+ L l
4 p: {0 m% |5 C1 V/ S b
! D) p/ d7 W9 e$ Q
3、不使用账户密码登录后台
+ l7 Y& s n4 U: M4 }) A
. t/ d; h; w4 E% E
ecshop2.7.x的cookie过滤不严漏洞
/ S3 G w6 @6 b0 {- F! Z- P
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
5 }) F' v0 H; B) G8 j+ S3 ]3 J下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
* ?/ V$ y0 K) ~1 {7 m* F1 \
6 K$ f w0 O5 E9 j7 E
$ Q `0 s5 j% L6 x/ Y% `% x7 ^下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
: I6 ^' p W# k' t% F. p然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
, Q7 C' S8 Z$ n6 [6 J& y6 O
K% L% k# h+ h' K8 n" s
( u* w; U/ [$ |% W4、后台getwenshell
+ K5 a0 x" G5 F7 H6 t3 _
) Y$ B- e' a) T1 u' a在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
& C8 _( H+ h9 {
9 d$ l8 {, r) f$ a M1 z
/ N9 E. J/ N4 T1 n* t
( Z! i9 l) ^, p, ^3 m, i2 R
菜刀打开如图:
5 ^7 i4 \* d t' f/ d& k' a% w
! s0 w$ P L# t( w( f. l
1 P- ]- n) b. m
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
9 M1 M7 ]' B4 b5 H; q; s5 { H0 @
1 E2 j7 h( ]# u5 S; _8 P1 D & F2 m6 Y! {5 [4 o1 F& }
" k0 s u/ M2 _" d1 E9 O. f
. J/ o& ?" _% Q
, w7 ]) ?; q: p3 s# l2 Y( a9 l" F6 U1 ^) n5 |* u1 n7 b
7 G2 S, J& {+ H/ Q) ]& H3 u6 t
5 P2 x& \2 g3 s1 s) B B& f3 z" s* F% e8 D6 {0 H7 u
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
$ Y& o3 r4 a c : @& ]! S, t1 Q; s! `: ]
6 B% c: P0 b& W* N: ?
( D0 u: L9 [# p& T7 g, S+ ^ | 
发表于 2022-3-31 02:03:40
收藏
支持
反对