|
% i1 K* J( J; c7 m
_2 U. ?$ _: \0 [
8 @9 ~& P$ P P5 W- w T; H, v
# ]6 K% D1 b0 P# C2 H1 | 1、 发现注入漏洞
) T7 p I) h/ h% n! o( E
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
: z5 t7 D8 I" F6 P8 `
- B+ s9 m4 R; ?( M5 i利用k8工具自动分离账号和密码
' q! V/ d5 }- D! J
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
, F0 r+ p" i, ?+ c3 }7 q" @4 ~* A5 Q
& U7 h k) n8 a6 p4 w- b2、xss跨站获取网站后台
5 ~& |4 Q& p. J7 v* e8 g6 Y8 x注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
& n( |1 ]/ t# B8 T4 I) q ; U. E% x# M5 s3 B+ B) X1 w) [
9 g, N( }8 P( _7 ? 2、 如图:
" z$ Y" q- e! H; O+ c( z) S
2 T0 M" X$ w2 ~. V' z7 C
$ l# e4 @: F: {: U没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
2 a" V5 }7 o j# ^, w1 }
3 p; K( Z# U* ?( k- v* O4 Y/ J
5 w) _. t6 E* X5 |) n& r5 \( x. F
3、不使用账户密码登录后台
2 b* T& q) C N
* [6 [: ^ |8 F3 G m' y) e3 H
ecshop2.7.x的cookie过滤不严漏洞
h& j# m, x; `3 B7 e( z {! i1 Hecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
4 b6 b1 m! `; M# N, g: [下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
K) c5 X. [ ]0 o
5 g, r2 h! ~" l
: X- C2 ? T5 G9 Y1 ~1 A9 P' a
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
+ F, H& ]# C/ X7 C然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
& _7 I# r% {" f4 \& p, U
4 d/ X- M" J W
2 s1 ~2 V$ M b
4、后台getwenshell
) y7 B: s; c7 v
( V. i4 i. Q" K+ V5 z$ k+ r, g在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
* V5 ^/ r7 u1 `. h* O5 G
$ f% G* S# @+ `+ ~; i
) O# |* j& c( R9 V1 }, |
$ i8 U/ b: J" M4 Y% ?/ T
菜刀打开如图:
4 L" D6 ~9 ^9 P: M3 u
: G+ d1 i* I9 V. k9 I
6 q2 G( m' g% i0 Q* C执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
( \1 _& s5 s! K# _. ~1 O1 b
9 @8 K6 j" Y0 B' ~* }" I % j: A C' F; I! N, X4 F# y
z1 s0 i5 H0 J9 j) e3 W1 T
: H$ l* P, k3 o: O
' `/ J/ [5 h/ Q# ~$ c7 R, c* ~
1 t& _( {& Y' Q6 u4 m" U, [
( I" N$ i' t) B+ M( W9 G6 Q( X
6 n2 y ]" q" [; D
% O7 D3 ~, j& i/ M 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
. z1 h2 M, @, ]1 a . @. Z8 F; S! I' q4 N' _
. }* w' O2 ]8 g7 S2 l
5 M; B; H/ K: h2 F- P4 d# o | 
发表于 2022-3-31 02:03:40
收藏
支持
反对