|
" t6 i! c1 q$ e4 w$ P& q
& r, p3 j! ^" X m' w
2 U# s* ~1 H6 y8 h. _
6 @9 P! d$ u% w) A$ n 1、 发现注入漏洞
, i+ r0 [- \0 j# Q% x! c phttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
8 D( h; `/ e0 U, q. I
* P9 N6 ?. P* t0 \! A z+ D, t0 N- ]( c' Y
利用k8工具自动分离账号和密码
) V+ D& I9 D" F' K) z7 n
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
+ A: n+ C; i+ M
9 |& [% h" G: h& w2、xss跨站获取网站后台
! \" d5 O- O& M注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
3 V- i' m0 i0 K. x0 f , K+ {+ |* G" g! H. ]* M! l
5 {3 K, m" l8 z3 e, |6 P. a7 T3 W 2、 如图:
. _5 w2 a' Q3 C o& m
- Y. S, B, e! B0 Z8 c( N/ Q% S4 W
8 u- {" z; M; J1 _! g. N* V
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
. }& {( ^- h. e+ z i$ `
\$ u/ @. y! Y, m7 ^# _1 C
3 X2 v/ L7 E) @; o3 b* f
3、不使用账户密码登录后台
- D6 n/ [+ Q3 d# i6 V5 w0 C
0 r* g. ^! C6 i* i3 W# Y3 c' `2 V
ecshop2.7.x的cookie过滤不严漏洞
% v8 F v( l9 |2 J6 E4 wecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
, ]* o7 x5 q: |3 ~
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
1 ?7 p2 t' h, T% v9 V
" \& f& V2 |" I |
u/ ]! Y4 A# c4 Z; f% B5 m* g& c
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
, B, H& R/ N, K: e, D" z# n然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
; ^7 Q2 r9 t/ r& J& @
% x5 N2 o7 X/ O% T
8 \; M" V2 y' z; m
4、后台getwenshell
f3 q. n& m2 j
8 L% C% F9 \3 N2 T# `在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
: S, H, c4 H( \2 a$ A
3 k! Y: x9 K) m. C6 @
' g/ k/ B- t; U+ k4 B9 N+ Y/ Q
$ h1 c7 v4 t0 J( ]: h6 ~% @1 u8 @菜刀打开如图:
5 b. q- w( C( l+ i1 z
( u) i3 V9 R! B2 Z
6 N% j; v: v5 N3 J
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
5 r @+ D' N$ {+ {/ n+ n
" M2 s* C+ U2 F& E6 z0 m8 m , E8 q9 t5 }' ]% g
. ], ^" w6 X. w
1 c' a) X! M' U5 D) y # B4 ^8 K4 B/ F7 `
5 X. x& C7 v+ H) C+ j& G
1 Y4 I! _$ u- t' W
( \/ Z9 N. T1 f; R) `' F$ m
; E/ M: }1 O, z1 Z6 i9 q
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
* S1 B3 x. S' ?7 u9 @9 b4 ~
" m8 X3 ^% N' l! s, i l3 Z" J
5 R: g3 u, @7 l+ V! W: ~" b
3 W2 ~9 I% L1 Z- i. G | 
发表于 2022-3-31 02:03:40
收藏
支持
反对