找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1750|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

* }1 L" w7 ?! f. U" ^2 i
. O- S0 A. Z2 U# t5 z P% \: b8 }

; W6 F2 z. H7 S5 q

2 }+ _7 t5 [% w3 d/ f* b 1、 发现注入漏洞
4 c% X3 O0 q& m( @/ L
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
# }% O( T7 O% F! [6 r4 a O! ^9 J
11-1.png
- s% _( ]( h: W- b
利用k8工具自动分离账号和密码
5 M; c/ _2 P6 g5 j) I
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
& b" a* A/ f9 H0 C1 o' J
2 U; x% J- S: p3 O" S2
xss跨站获取网站后台
) H) p/ G) v# v: U1 _7 A& a
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 : I' N; g$ H9 [/ r, Y, t% u5 ]

0 {$ i4 \+ c# {1 h. [! ^3 V

' h- \2 L9 n3 H: L* n& p* A4 c 2、 如图:
; C7 e6 k6 x# q8 a! |
3 O7 Z/ f0 l! ^* n+ Q: x
* U) G" S9 s0 `+ x& l9 B
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
+ s/ i, H: Y$ g l. F# c+ D
3.png
8 I6 M U2 Q5 n. ^
6 v, q7 r( n1 o$ Z( r3 _" g3
、不使用账户密码登录后台
! ]# i% ]' \+ @! p# @
$ T5 b9 F& N4 L- a) N# U4 u$ o ecshop2.7.x
cookie过滤不严漏洞
2 j6 L' H8 u# A; c* ~' i. Q ecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
$ i4 e1 J/ T# D2 @& _5 h
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
- G) x7 o$ q% N5 |
4.png
0 i1 X7 s! b' n# Q0 C
9 m; ]$ m2 f. h! j3 s
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
6 n' `7 N9 D8 @' g
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
4 H( y: W: u. C7 h; I' Z& O
5.png
+ ]# a0 ]3 ^! z; Q
$ ]5 Z: ^% T2 [9 d 4
、后台getwenshell
4 ]. H4 O, F7 H; K# x
% Q9 }9 `- J. a+ A# V) n9 k
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
( [. v$ G0 @, G; o- y7 W0 B
' ^5 S5 b" Q Z. f7 T1 J% R- X, u
6.png
. C3 v0 T7 n/ H
" T% c0 f% }8 a8 D2 ^
菜刀打开如图:
" r* A+ p8 R- g2 ]! C& c9 B
7.png
; \5 K% z( J; \# }/ N, p
" S" x( X. S& K# v, y6 E# z
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
) X" X7 B8 i8 B' V G1 s
8.png 9 ^; _3 ?- ?* B' y

* H' a; n2 {5 Q

" z& A3 W# g+ A   9 E7 v" y3 t3 w' V+ Y9 f( Y

. n8 D H* T/ E

" Y! y( U3 {4 w9 g   : M( @ j6 b" R1 ~! m

0 Q1 @* w% Q, x' L4 C( W/ r/ g! c! c

( \8 D; j/ [) u8 T 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 1 z1 g$ ^3 h2 U1 l- }0 V* y6 K& l

0 T) x6 H; T/ d. d4 g2 S

7 E; Y( T& n) A/ A
8 i5 Z. o9 y- J8 O& H- K

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表