: d7 U4 M. L1 q) Q
8 M8 U, L8 y& [9 t1 G6 `, e, n, M) N. ]
( |( X# a( M' o; ^! V
! |/ l. k/ m/ \/ L3 l9 y: @ 1、 发现注入漏洞 # X; t: Z" j4 k7 F0 X4 {" k/ ]
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: $ ~. H% q C0 A) j1 S* x4 l
 ; u2 c) ~- X9 v7 |; d
利用k8工具自动分离账号和密码
( Q/ W8 c, B8 @. s/ F9 B3 w经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
0 a+ k4 | M) h e
. z: n+ {: h% D, |! G: {0 o" {2、xss跨站获取网站后台
/ N( @1 ?; s" V注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
: c3 o6 `3 A1 [3 x
' g/ t0 M0 u6 R3 e7 Y: B- t$ J1 T) U7 l( c. \/ e
2、 如图: * v1 u- o( y4 q8 I" o7 t7 k$ w

, r4 T9 r2 ~6 B3 u# x: @ 6 A! H; w m( ^ G3 i
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
' V& Q0 F* K/ Z2 v( m3 b, c 0 P+ D! F2 U, h+ Q2 M6 w
5 K1 ~* v$ W& | `
3、不使用账户密码登录后台 1 w; e/ s8 n- x* W
$ C1 Z" Q* y2 D3 `; e [1 ^2 a
ecshop2.7.x的cookie过滤不严漏洞 $ g% d% x8 \1 o4 F3 X8 g
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
" p/ [5 ^3 {9 r下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图: . U3 w+ t, T& x) K. b: y" x

: n9 O- S/ ~) t8 Z8 N , T+ R2 i# T, L6 h2 b, ^ C
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
/ j+ D" Z$ a3 }% }+ D3 e( Q然后适用k8飞刀打开,先设置普通cookie,如图就登录了: d* y T7 X A* E+ G [
 7 h; A# D; n1 D) y7 r
% P. K/ J3 D/ }: X! y4、后台getwenshell
- G, r% E! M; T* Y 6 k6 M; t$ w/ r! {( P
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
- z. `1 A9 i4 A0 x( [
6 N) D, x0 S/ j1 c( Z% R 0 {6 q/ O6 P4 K: S: e
) o( l/ z( v2 d' I! j
菜刀打开如图:
/ i: G+ _& J( ~ H9 h3 I- j$ u
0 I: e, ~8 A2 ?1 i: h& Y 7 J8 w ]" I- N. f; f
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图: ) P: {/ N% X2 |! f, `& y$ H5 B
! h( `4 s# |& r' u( M1 ?: a4 p$ V ! W. K2 a. [9 n- ^
1 j! y4 k" t G) r I. v# |
$ @, @5 L" p- f7 P7 V# ] 7 o' E3 V/ Y/ Z* f& P. z. j- B
, h- w' n/ I0 H1 K: N
5 p5 @( ]2 o: u7 c" H5 ~ 9 f6 i y* S2 r8 @! b, s0 W8 Z, P
2 L4 ]0 K! e) H! ?- g! V. f! G7 v 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
9 }+ ?3 Y, w* ~- l# i, R
( [7 G! W% x7 b$ _
1 h4 \: l+ i2 h* h $ |3 ~9 O3 t p8 i$ P
|