|
: c( |* e# W5 T, b 6 w* X) o; ^4 z$ V9 ], o
$ }, T- Y8 x+ G7 h8 ]0 c
2 C/ h7 F1 k5 |/ Y6 b: p
1、 发现注入漏洞
, ~' K+ V& }; I' I L$ Xhttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: 9 c* S) h. b4 Z2 e4 J* A, O' c

5 `% P6 |9 X2 n: c! _" m利用k8工具自动分离账号和密码
; ]6 b3 m. w7 H6 f2 O( w经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
7 o5 G" v4 S7 A
: V& u! m J4 ^2、xss跨站获取网站后台 ; v6 v3 H" S8 i% ]# W+ a
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 0 C. P: G' ~ A: v
( N9 k [5 _4 W& V& Q6 c5 z" d% n0 X
2、 如图: ( h4 V9 t* \) F: p9 w

' a$ j; u. X* J L2 v
# }: T' ?& w$ O没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
0 G" A" _* j& R. ?( r9 c5 @+ I; p r8 d. x/ U& S* ~0 l7 X7 F
$ X6 w* P5 Q D; a3、不使用账户密码登录后台 K+ v0 h, m, r- J9 P( ?" {5 z/ u
# A* V ?2 J4 X( g0 S( U. \ecshop2.7.x的cookie过滤不严漏洞 . m4 X3 s7 D; J+ {' K, R
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
% h- W% L( |( ?+ E2 |; h6 ^9 A下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图: % y" q) }! j4 H; i

. y: T4 i, p$ r6 z0 j+ r7 x8 `' s 4 M. s+ @% v; V+ k/ e) u( ]' y6 L' L( l
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da % S5 w6 N, R3 m
然后适用k8飞刀打开,先设置普通cookie,如图就登录了: ; n* B: Y" v2 S3 J+ d' \) c

! ^7 E3 N7 i" @ " |! \& G: B6 M7 b
4、后台getwenshell
, A, G: H6 A2 l7 ]% ~$ ~6 Y, M
" ?- ~) ]9 [1 f0 w在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
# X- q6 _2 d/ N" P$ s
; Z' C4 y$ U0 K+ w
" {/ ]$ G# j! v/ Q, k) |6 N7 k4 Z
! s2 j# N/ a% T5 q7 F, P菜刀打开如图: ' l. M8 ?3 K; _4 U$ \# U

1 X6 v5 }9 E! o' N
" O2 O6 I! J) b* i# p. U执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
* L. A: ]: a5 n$ \ Z $ E9 w7 c2 A |. ?- U, Y; u
9 ^- S$ t# n0 X) X6 ~4 d9 b+ ~
/ k5 e9 y# M, M) s5 a$ E . K7 P V! V. J2 k: t8 _& V4 ~# A
6 J& p% _: s5 H- z2 O3 b0 W$ K6 N, a! c w3 D
) |/ h/ B |& K7 k; z5 y
* b; I( x! W0 f# S4 e% l# ?* N6 r& m1 c5 Z# A. k# ~# `" K
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 5 E2 j! m8 }6 `8 {! C9 X
# z! i h( f( }9 H9 y+ {- h" U' R9 H
" b; U$ @" Y* K u0 c
* x5 A* {, t" x1 d$ A3 R! J# Y |