|
1 v; s; R! c) V9 c( Z
3 @/ E1 s2 K5 l h1 z
$ n3 ~1 p# k% I0 w7 @" d, d2 ]
8 m3 y7 o# C& B1 Z& A6 b; R 1、 发现注入漏洞
; a* O0 |# V' Z6 n" Q7 S9 khttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
2 p+ s% c7 B0 @7 O3 Z
: l* m5 i K8 z6 Y& p. g
利用k8工具自动分离账号和密码
. n4 o# U0 V! c3 O& w# g; y
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
, ?0 q5 q/ ~# s3 W& B n
, c# F" s$ `: E# Q$ d2、xss跨站获取网站后台
: j X, ^) B! r+ W1 z5 _( G- x
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
. p; K1 s! a: U- N. t ' Y, ?9 \) H9 s6 @
: h8 c' |+ n$ W4 O( R3 a+ P; J: D
2、 如图:
: [% f! d8 ?8 r8 b8 B% l R+ J
" K- s: T/ q/ }% U
& o9 B& H/ H8 v; \) I3 q7 i' Q
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
9 w) d3 I" v( K
$ A. l0 ^7 K+ D9 _
$ V; M4 k( i5 ^4 H( \* E y3、不使用账户密码登录后台
6 f: y2 u0 s3 H# ]4 h, r, Z
9 T8 \# n2 W0 _
ecshop2.7.x的cookie过滤不严漏洞
5 g6 \" C4 l/ e* e( @1 f/ o9 Z
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
$ j* `; }$ z/ h$ i k) `" @
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
9 {- P0 Z! \! }/ V& v, s
e9 T+ }' j1 J7 G# u, g1 K
* t$ ~! x* A2 _; }下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
* r1 J+ G5 H$ ]8 j; Z然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
1 L5 T% [6 ~% f* V9 \) g6 D
3 M: p' R0 r0 H* p: ?9 d
+ Y) J7 E, c" ^ Z9 x8 [' z# P: ?3 q
4、后台getwenshell
) R9 {" I" A7 D ~
# \ o8 _/ R+ d A
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
1 @( D5 m. O& S$ P9 [
$ k5 r; m* x8 S) S5 [
, r) e( ^6 S% D
2 Y& @) j" K c' \
菜刀打开如图:
% Z: ?5 F1 y/ L6 b% q6 d# A- K
% v2 M! D% X; D% Z- ]4 K
" T. G2 x* P' ]6 c# G
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
6 U! ?0 p5 L7 t2 W# m
) V2 J5 r1 Y3 S
; Y7 b" o3 }- `" i7 L2 N' e
N& l/ `, r1 F7 S6 U
6 Z5 } I0 K8 [( K2 }0 f" \ 6 z& Q" F! d2 S. u" v/ l
N' i1 C1 v1 Q2 A3 E
( U% B% |/ L! l' F9 a9 z ! W* ~- |7 a# p: R' ]# q3 d
$ F3 {9 p! B; f# @
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! + m5 W* O9 L3 ]- y Z
6 ^2 |1 X) f4 T) {
% `2 g! l; `# p+ H- `
% s9 X' l, x; o6 o* u# \ | 
发表于 2022-3-31 02:03:40
收藏
支持
反对