|
5 h2 ^1 S c) I+ t
0 X% v6 X7 E1 C( W4 F
3 p1 Y: G& `! ~; Y7 Q8 c4 {" f. {2 m! _& _$ [
1、 发现注入漏洞
p0 V1 P8 C' Q, O) c& \http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
! ^. y5 A C0 o* i
# d( {! {/ c: [# ~: ?1 H$ g; P
利用k8工具自动分离账号和密码
, L/ g; o0 N% @3 `
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
' {3 {! t: w3 U+ a( s3 o `
5 u ^: j) f2 y0 b0 r
2、xss跨站获取网站后台
2 I6 |/ G) i7 q s: s" j注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
. I/ ?: c* h2 e- o( E" X 7 i1 @8 y9 Y; c" h: m
" l* d3 X( j, L: A# s8 x
2、 如图:
3 B |2 V: x0 H% \0 K' k
' _( R9 O& f: d6 Z6 I
2 q$ z* E2 u! D, M4 [) |" Z; G' R2 S9 W
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
. Z% _! E1 Z0 Z4 G: \
+ O) Y: E6 l. d+ G% N: q7 L, C
7 L9 d; E+ I( z0 ?5 B7 ~' v6 z3、不使用账户密码登录后台
& _: X/ @$ h7 n7 d: R9 \9 U
7 M5 x' t; M* x" ?ecshop2.7.x的cookie过滤不严漏洞
, Q: f" |* J3 G) Z/ Z0 W
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
7 I/ l4 {$ ?) v; x下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
/ {( w5 D, s: W5 M1 w; l; w
( a7 Q3 Y7 w( x6 M9 e1 K
" b7 J, u1 a" w) S' v8 @下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
- P3 A; ~: M5 q) K然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
9 l) ?+ g6 D; j F; p5 O
( w& ^0 o1 g4 I" n9 j$ R$ n5 \
6 R* h3 e c. Q- e( j
4、后台getwenshell
$ b5 U0 T% j+ t7 {% l3 Z/ V
5 B& A# y; p% t+ l- _0 @ _
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
1 @5 C& \/ k/ y: }5 I
0 L/ N% e5 c6 R" C+ ]
r. X1 d$ L4 A) Z
8 n" f1 { t- H( _* i% t菜刀打开如图:
& X4 Y" f" q* ?# ^5 ]. O, O
( W! w2 F, h/ r+ @( a" Z
; f8 q, {( R& d# k执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
8 g. c/ _& k3 A |; Y9 M z9 j : D$ @! A& o8 w. l3 Z
4 R) Z4 C, F# K2 z
! @" b. V& N) t2 X# e. {/ O& h( y
6 v6 t: g& N+ J
4 ], w, o; n( I4 |9 u+ O
; w% ~# a& h+ R! H$ \
/ Q O+ Q- T$ c; w 7 T& t) @) L' a6 n: I+ j
$ X0 m3 w0 n7 A; Q3 _7 i& B
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 3 \' |3 q9 O9 S8 Q
! C0 Q0 H6 k* R7 z9 T% }7 u, x% o9 a/ N% {3 W
9 _$ N! n7 Z8 {9 f; ?% t) g; w | 
发表于 2022-3-31 02:03:40
收藏
支持
反对