|
( T- Y+ C4 v2 _0 \! K 8 v/ n- u: y1 w! T: q* J
. @% ` J- m* r
# s2 K" O9 m1 Y
1、 发现注入漏洞
# Z9 b& }+ s6 A# ]; _http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下: 9 X" L. H! W% f0 ^* E' B

7 t. @) x7 S: U9 b. w2 X. e利用k8工具自动分离账号和密码
. A& {# n- f- z7 R3 F* Y( L经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
. A9 b3 T; w7 C P! c9 y# k; K
* Z. N0 J1 d2 U; Y) b6 T3 [2、xss跨站获取网站后台 8 U; N* S2 c2 z, v9 y) ~; Z8 ]
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
" o% \( c% K! X. }$ ]% L5 K% v
7 k' E/ b6 w- U& w$ v
3 T& e! i9 N& G- I5 Q; c9 e1 |' |5 ] 2、 如图:
+ C: z6 n+ y/ O! b! D0 I; _ H! ^* K2 D( r, G/ z3 b
; \! {& R, Q! m4 a
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图: / f: g$ H4 B1 B. B' F# _
 $ S7 o$ g0 c0 ^& A9 [* t
& I8 K8 Z( {5 U( t8 ?& x
3、不使用账户密码登录后台
+ }. Z: f( p/ {9 y
% T, P5 @7 H( \) z) @ecshop2.7.x的cookie过滤不严漏洞
, r G- I) H4 u5 g) z( r) Fecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了 5 g& A! D& j6 h+ L/ d& ]
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, T6 q, [% B G+ N. ^( R" [
* z/ V9 r) k+ E7 W( r. N1 d, I
+ c* s; s, \, P# h/ ^) i下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da . N1 [' B- b* Z
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
; U5 e ~4 {0 e& s) G/ {- _7 j ( ~; f p% N; G# [ A
+ {- s* V& p$ @5 F+ w4、后台getwenshell O9 Z2 ?3 l3 |5 }' J' g4 A8 e
% a! g* C& A2 n+ ` C在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
3 M; `- R0 y+ h9 v4 p* z : f5 m/ l2 |8 G2 J

: q: ^2 O( Q& \* c! q1 I2 Q
, y% M" K( j9 g+ I. @9 T# t( H菜刀打开如图:
+ T6 U. i" j. ]) G) J( s ; @" h* [5 ?% @' ~, Q
. ]* h( j3 p, V g' x执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
# o2 q/ D/ L( {+ Z- U - }, P' r& V% N; @- D9 D W
: p8 t$ M: L0 d5 A1 O0 U# j; b: H: a' z, w
- V& v. e2 Q* a! @ c# N0 \0 F u. Q9 i0 S& A
& L8 `' U) O* p, y5 A+ g
$ f: F g: d7 C : }1 [; O1 y" F# ~3 N
) J B$ X% a* n0 {' P0 b
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! " ?7 e5 n R& }
4 z7 R5 b' f2 ]/ g, f0 _8 H
# V& P( K* d7 H+ ~
/ Z7 D! X( E; [3 M$ V |