中国网络渗透测试联盟

标题: ecshop之从注入、xss再到getwebshell [打印本页]
作者: admin    时间: 2022-3-31 02:03
标题: ecshop之从注入、xss再到getwebshell

9 j y( r. @( {+ O8 y* \
$ f3 H- X- W, E, k* w6 C

4 Z( C" D) \& @0 h( h

% Q* M1 K D5 I% O% T o& R e 1、 发现注入漏洞
9 \ L) e6 G$ M( s" L+ whttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
, K/ n. ^" `% \ 11-1.png
2 o# Y8 I1 \- F( J+ b/ f( A利用k8工具自动分离账号和密码
+ i) n6 g, U4 ~1 e经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
2 u3 e/ L# g, S, I1 s
/ p" o" C2 w `2 W" k9 c: S2xss跨站获取网站后台
- f3 y3 n2 I+ ` p" R' q1 K注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 " N- Y; v8 r/ ^: v7 m5 j! p

) P$ C8 k7 U% `& x" W6 M

( d D. O% n7 R6 }' c/ _ 2、 如图:
5 J8 a" R4 J$ [8 ~1 }
, ~; ?. n' x) o
9 N1 |! ~3 B" ?0 T! Q' W/ @4 v 没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
* o/ R; ?+ p6 m- j- A5 V2 @8 T* h 3.png
( n. l- v9 s% c3 |2 P7 A3 V
: Q; R& X! A$ E' ]* ?4 N 3、不使用账户密码登录后台
' E) b | s8 L/ r9 t6 j
0 [" U- P. a. [; Q/ ^& K7 U9 B9 wecshop2.7.xcookie过滤不严漏洞
' o" X. w! l9 y* V" O. j0 r9 J8 k: l2 tecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
% l' d! q" P" I# ^1 i- |1 }# Q9 o3 c 下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
( a m" O9 @/ n- v. a+ X 4.png
& ^6 B0 ]8 \2 U* r2 g
* B$ ?* O( E; E4 @% @ 下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
3 G! Q7 C h" _- P 然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
& D0 _( z9 w* `( c0 C 5.png
/ Z9 f! r5 K0 p* P. T0 _
) i F9 T4 M' t6 C5 B) `. n6 J4、后台getwenshell
. \3 k: ]0 v( K, Q
e$ w8 G9 Q5 d6 n 在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
( W J( J& V7 t; m; p
E7 Q4 B7 q+ ?2 G, m2 @# M6.png
) J0 h: s, T9 }9 j4 s
4 d5 u3 w- M* g2 M, L6 ~1 o9 `菜刀打开如图:
$ |% t' t% F& ?) L- E N$ ]4 h* Q7.png
% \$ P0 Z/ \. u
; u7 |' J7 r; J5 s执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
. |1 H& ]$ B- }0 i0 }8.png ( I3 J/ K2 P+ D3 [ a

! {1 M3 s4 F. i" Q) j

, ^! }# B. d3 _/ z/ a   5 @) }2 ?' r% `, Z" ?6 w- i1 q

) [# Q% B) [" z/ T! s7 r

6 u9 q! a* @" ^4 c1 [6 O6 ~- ~   : {* ^% o( m0 Z

7 q. l8 A. G T" O! r

% g6 h- q) Q# |+ h+ F 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 5 @1 Y$ O% f" ^- e' H [7 \: O: @* ?

" l7 F2 g# o4 ~2 S" z# x5 k3 R- ] X

5 Y+ e( T( e/ P J& ^
% O3 b% x& i8 m* ]/ _





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2