|
' @3 Q: ?5 s4 Y3 Z
: L; E6 L/ K9 j1 A 2 y M# u* Q( Y2 `$ ?) m' |
6 C% U; @) H5 q9 u# |: i9 R 1、 发现注入漏洞
' l$ z+ g( ^( r1 b0 L
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
5 g% m4 m! Q; r$ N2 S
! I Q& e5 Z) h k& ^9 g利用k8工具自动分离账号和密码
) P9 E& H* t# M% q/ s
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
0 g r# @3 F, S/ \7 F8 l# p4 C
4 P U' U2 E6 h. E/ a5 N+ l
2、xss跨站获取网站后台
# d" Z2 N1 B: Z; S
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
& C$ p* x9 V! b8 K( h; L: w1 \
! o* J9 E# n1 G4 u; V! k0 c' U3 K4 L
2、 如图:
- N% L+ T! r7 v
! F% @& D* C5 @4 @/ c% E5 Y
; U$ M( a9 G+ S! ]: i4 A没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
( q7 ], j. f+ h S. M
) U$ E" W& k( B# N. `2 U6 p
o) W$ J8 U( T& h3、不使用账户密码登录后台
7 ^) G# z; q4 `5 x9 i3 _6 K* o/ x
$ Z/ l6 A7 Q; n* |5 f" k5 I2 @
ecshop2.7.x的cookie过滤不严漏洞
3 q% F* _; U l) F: ~3 U1 `; G
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
/ X0 k. j" M! h: p
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
3 Z0 }/ i# q- v) X) }% @
+ `- n6 }$ C9 x e0 C' ]! t
6 l( [$ a% N4 Z" v7 K( {4 {
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
" e8 Q- ^) w0 y; O
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
( w/ ^# m( D% a' P
7 g1 u4 ?0 k0 r4 M1 A
1 Q, [" i p" B8 I7 r4、后台getwenshell
$ E O# [3 P) w; m+ R1 {/ ^1 @7 N
; c+ m6 f- l8 E6 `7 i- @在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
q9 h$ C% X' w
* \& e5 b9 |( ?& t* g% @4 d
( C/ j6 I$ W* n# {; d4 X$ ` N
& r2 F4 _2 U6 B) i& \( i6 L" u
菜刀打开如图:
0 _3 r3 V( x6 v1 H! E4 {) r
/ N5 }& \5 ~& n2 O' k. ?, r
9 k( G# e# i9 v, {# T
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
7 g/ a# U `1 }" ?2 y
* c8 y# r6 F# c
6 K; E/ L2 t% C, }6 x0 O5 W
$ f! M9 K f( y. D! q) H9 E ) h7 n' t5 W4 V! K! n2 p
& B/ ^! [; ?/ n: m9 U; S
; K! U# y. r1 q6 k: Z% x 4 i/ {5 R% e! s5 x
1 ~$ |! ]+ W! g# k
6 i/ x0 W8 X" S% H, i% L, M
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 8 X; E/ ]5 e1 g1 L
9 V: i# x6 W3 \4 u1 R. A' `- R, L
: L7 y2 A: _% I- }+ L& s$ w
- P9 Q: ~$ D# b1 l" h+ i | 
发表于 2022-3-31 02:03:40
收藏
支持
反对