找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1753|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

: c( |* e# W5 T, b
6 w* X) o; ^4 z$ V9 ], o

$ }, T- Y8 x+ G7 h8 ]0 c

2 C/ h7 F1 k5 |/ Y6 b: p 1、 发现注入漏洞
, ~' K+ V& }; I' I L$ X
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
9 c* S) h. b4 Z2 e4 J* A, O' c
11-1.png
5 `% P6 |9 X2 n: c! _" m
利用k8工具自动分离账号和密码
; ]6 b3 m. w7 H6 f2 O( w
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
7 o5 G" v4 S7 A
: V& u! m J4 ^2
xss跨站获取网站后台
; v6 v3 H" S8 i% ]# W+ a
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 0 C. P: G' ~ A: v

( N9 k [5 _4 W& V

& Q6 c5 z" d% n0 X 2、 如图:
( h4 V9 t* \) F: p9 w
' a$ j; u. X* J L2 v
# }: T' ?& w$ O
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
0 G" A" _* j& R. ?( r9 c5 @+ I; p
3.png
r8 d. x/ U& S* ~0 l7 X7 F
$ X6 w* P5 Q D; a3
、不使用账户密码登录后台
K+ v0 h, m, r- J9 P( ?" {5 z/ u
# A* V ?2 J4 X( g0 S( U. \ecshop2.7.x
cookie过滤不严漏洞
. m4 X3 s7 D; J+ {' K, R ecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
% h- W% L( |( ?+ E2 |; h6 ^9 A
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
% y" q) }! j4 H; i
4.png
. y: T4 i, p$ r6 z0 j+ r7 x8 `' s
4 M. s+ @% v; V+ k/ e) u( ]' y6 L' L( l
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
% S5 w6 N, R3 m
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
; n* B: Y" v2 S3 J+ d' \) c
5.png
! ^7 E3 N7 i" @
" |! \& G: B6 M7 b 4
、后台getwenshell
, A, G: H6 A2 l7 ]% ~$ ~6 Y, M
" ?- ~) ]9 [1 f0 w
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
# X- q6 _2 d/ N" P$ s
; Z' C4 y$ U0 K+ w
6.png
" {/ ]$ G# j! v/ Q, k) |6 N7 k4 Z
! s2 j# N/ a% T5 q7 F, P
菜刀打开如图:
' l. M8 ?3 K; _4 U$ \# U
7.png
1 X6 v5 }9 E! o' N
" O2 O6 I! J) b* i# p. U
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
* L. A: ]: a5 n$ \ Z
8.png $ E9 w7 c2 A |. ?- U, Y; u

9 ^- S$ t# n0 X) X6 ~4 d9 b+ ~

/ k5 e9 y# M, M) s5 a$ E   . K7 P V! V. J2 k: t8 _& V4 ~# A

6 J& p% _: s5 H- z2 O3 b

0 W$ K6 N, a! c w3 D   ) |/ h/ B |& K7 k; z5 y

* b; I( x! W0 f# S4 e% l# ?* N6 r

& m1 c5 Z# A. k# ~# `" K 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 5 E2 j! m8 }6 `8 {! C9 X

# z! i h( f( }9 H9 y+ {- h" U' R9 H

" b; U$ @" Y* K u0 c
* x5 A* {, t" x1 d$ A3 R! J# Y

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表