|
! p! L, {2 M1 l' j5 ?6 v
' o+ Q% p/ e1 }8 _
' S2 A# L$ |7 d# ^# H2 L" S7 }
- t# y, r! f9 T' s* E0 v! ~6 d/ ^ 1、 发现注入漏洞
+ p' z1 ~; C, y/ T; ]% n! dhttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
8 D! x h+ j( a0 |2 F
/ u& S$ a7 d) R9 L
利用k8工具自动分离账号和密码
1 K. D( ]$ B% r+ z7 W5 e& p' ?经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
2 F: u8 Q2 k, D" D) V5 y" A
" i! W: x$ {* _/ n
2、xss跨站获取网站后台
$ Q4 J! Q. ?! g1 {注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
: y: q" ~/ K6 Y+ h( `1 i 0 U2 _/ a9 L: d l0 N" y8 w" N/ o, Y
* M. @ } _, L) Y+ g
2、 如图:
1 @6 z* l- b6 i. C
1 N r9 Z. Q2 U( H0 ^. U$ @# P) |
" u M7 a+ M7 W/ ~9 K/ C7 N K+ N
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
1 e. d9 k- J6 M5 c# ]; c
( W4 p) b+ h' ?8 @5 n& A- u6 c
$ M- h( Y8 }. A' X2 F
3、不使用账户密码登录后台
7 R* p9 C1 ~3 F. k8 i2 i& l# ]( I4 z- m
7 F3 v) Y' a/ A- ?ecshop2.7.x的cookie过滤不严漏洞
* y4 g3 ~9 U/ H+ Y: o
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
) _5 Y) j5 T, J( A2 a下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
6 q* O8 F' Z- v4 e% U9 N
2 a" o. B! v' E# s+ C7 }3 K2 k } E
9 m, `% V4 T1 c C0 f/ t5 ^) k下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
& C# \5 M( u) u* ?
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
+ ?, L$ g0 u5 A: }& i! j. c4 N" u
* u8 R+ L' @5 f) a' I) l$ v
3 m; V8 }4 j! Q8 I! Q) |4、后台getwenshell
' X. {9 V. S! V2 I" s, J; s
, S) }; q1 e) g) H+ y0 c5 ^在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
* d( }0 L3 M0 h3 p& |
' G) S5 G. K$ ?$ p+ {8 S
+ N4 M/ @3 p1 [4 U8 ~- [
( k- G/ J% |7 I1 v0 j菜刀打开如图:
% l$ g5 T9 G1 k7 a
+ ^& w7 t# O8 {( g9 o$ |1 A8 K2 \
6 q& i' z @7 ]' R执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
( \" W7 }: n D& m- U6 x. U 3 @9 m2 b5 v6 i6 h# w
- v; b; ?0 C, L8 @
; k2 o& z2 f, B4 u" R2 C* S 8 X2 A4 N$ [4 _3 u) \
- Q" v( \! {& K: p" y+ C& |8 l/ g4 [4 d! t' N4 ~( X
) |% F; ]" y. p( X0 m
- y9 K/ ]! g* A& _1 C4 _$ D4 p8 d- X; ~( [8 A/ o h
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! ) n: z5 I' |$ w% J' N; G1 w. }
0 D6 \7 E3 k1 e4 h; [! D7 Q7 ]) i: @, ^9 [ Z" K; }
- T; ~, j% f; g- q+ G1 h
| 
发表于 2022-3-31 02:03:40
收藏
支持
反对