|
! M9 l7 h; y' T1 r( H9 o( _
8 Z% I' K7 h8 [& H, d) F+ N# J. l
) J, r5 h. a2 j0 W' m% y7 f* d6 x+ M! I% o1 ?( X! R$ D% y
1、 发现注入漏洞
5 _( `! V' \4 I9 @: Thttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
& k. T, H! o0 m' [5 X3 B
& E6 r4 i% V7 w6 }. t# c5 z$ g利用k8工具自动分离账号和密码
0 k) @) k) ^. f" O6 O: x
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
$ K, _* q8 x- G! f4 S" k
: h3 B8 [5 y; n. }8 F( J2、xss跨站获取网站后台
* L( O# }3 e$ U$ Y }
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
% b2 h/ t! d2 X" y W6 J$ V
1 j K6 i3 Q7 F# n& i; `1 H9 X+ Q. v2 B9 o( Q% I' a
2、 如图:
6 s/ T( J3 o7 W: ]) R
C9 Z1 w3 i; j# v) X
. u6 r2 J2 [" J' h! K没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
- g& ?2 L ^8 k* p) g& P
O {& @+ G3 v5 ~
) T5 O" @) ~# E8 f9 I$ r
3、不使用账户密码登录后台
9 z7 Y; j, r. a# K! Z/ t! i
; I3 q. H; d7 X7 s: I% g; `
ecshop2.7.x的cookie过滤不严漏洞
0 }; K6 i$ L3 |6 Wecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
- f! Q3 E3 C7 U1 L( |
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
! n, _! d9 R$ h8 J0 w6 S* Z% [
$ z* r! L$ E3 U2 P
o. G! m& y0 I* K; D% p* Z+ K9 `: O
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
6 E0 T7 _# y4 B0 A! a0 m
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
1 b+ N& Y( m# Q) R5 H
) b# {. U+ H- i, l1 |& c( ~
' B8 O3 o5 L- ?! C# w- e4、后台getwenshell
0 R5 w6 b" B/ ?
3 R3 W# C$ L: f) A% n8 l5 i1 i( u
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
, `6 L1 N; y3 v
. b6 c8 z3 `3 k: x6 W
3 x0 o7 J$ u" V! K# g2 S. b5 E
8 p! S8 z; z b- W% Y
菜刀打开如图:
4 n2 ^0 F. Y8 ]
+ |" m0 o, e2 A( R2 B( d
3 g2 W/ ^5 A$ ~, L, ]8 r
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
3 O* |# y8 e' n/ \
T' Q7 k9 G' Q) y) T
# m0 ^5 {5 ?+ K* ]% Y" @. ]# p$ V, Z; \; R& U! a8 ?) v
8 j h1 @+ p8 u' q, |4 _
- L* L( ~7 I( D% S V' @8 Y
, t- j2 x# m/ O2 Y$ ~ # Y4 e6 p+ g& T4 X
' f$ P, h# O& `( M( X0 q+ a- j
! V3 O; Y; |3 ^, R 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 4 Q, D+ d, x3 e$ {& q8 C
7 h. s, i P- \3 }
_* d; n1 k3 j1 @" m: c) _
" K* f, Q, u. w6 x | 
发表于 2022-3-31 02:03:40
收藏
支持
反对