找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1799|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) s; Z; r; x& t1 E, V7 Q
: q0 F" d% V6 B; b% p& [

5 V: X5 U: I3 ^ C9 Q2 c

, I0 i5 b L8 [5 T' g g 1、 发现注入漏洞
$ X. y9 e% h! F+ U6 g R3 J, V
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
" q) h) X6 l; _; X9 X4 }
11-1.png
4 U% b# I; ~. V3 F& d$ a/ d
利用k8工具自动分离账号和密码
5 [: U6 t( P; n ?! j7 Q% O
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
# d9 s# d% ~+ E2 _3 G( S d7 L
) V5 |" d7 k. _* e# K2
xss跨站获取网站后台
! j/ [$ i) v" y0 K4 ^' q2 F, n$ r
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 ( |/ m- O2 Y3 ?& v* w

: T8 j) m" p; q: ?, q" D5 m

5 x% x+ Z H) V1 `5 p 2、 如图:
- D3 n: E' E" F. ~3 U5 a
* m2 a5 e$ R% I1 x' Z
; ~0 \" L/ ?7 U0 H0 O, U4 F* g8 ?
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
6 K; v* J8 O6 z
3.png
" T& d2 D$ ^+ ]; D. S' `
+ w1 `3 j0 |5 Z* T, q, T6 f 3
、不使用账户密码登录后台
9 h6 o( c, O n9 @ i
- S1 H$ l9 N" p9 Pecshop2.7.x
cookie过滤不严漏洞
4 ~( i; h7 J. M/ Aecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
! n& o4 x# y3 l
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
$ \ h, c) a, z% |" ^
4.png
& A) A6 Z, f# ~( [
% P" B+ D. S/ u& f8 i! C* R$ ~+ c/ B
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
& a, |/ m$ W' M- b
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
( A: I. h- _$ I, Q8 q& H
5.png
" b* Q; d7 b& P: f: s
5 W: j1 O/ I$ w4 B7 c3 I( O; t; m8 @" @4
、后台getwenshell
6 \( l3 a. p( e; }& }( R6 w
1 c% ]6 l. l5 C' V- s
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
/ X0 W) ~7 }( T4 n W
, k. b) G- X" x% j" B/ N3 F) ~
6.png
# f. q% E3 W# J9 Q) X( c+ _
) m+ N2 J" R; @4 j
菜刀打开如图:
+ D v f4 ~) |8 T) D
7.png
* v! A1 Y( l; }# l# z
d( R7 r( m$ K9 _ f$ p1 \
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
) J5 y# A8 o) _' w' X! N
8.png ( B) Z& G; E# O3 }

" u( j A3 X& n _2 o

+ H: Q! `1 J4 j$ W! o0 l# X" z   / m3 n0 Q+ f3 z

* a% B9 Q5 @% w- O/ q* d1 v

, K7 _4 ]+ M+ O9 A5 r7 m2 d   % N6 O* R% C* \6 l) |0 @/ P

. {0 t" l; Q \0 z$ H5 [

6 w' X2 [! u% K2 ~3 t* I 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! # z, W! H& k! X

' h0 U0 H, ?# b

1 L, U! B& ~% Z2 Q! ]5 Q" s# t
" p+ g* k, I2 j) n: C

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表