找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1745|回复: 0
打印 上一主题 下一主题

ecshop之从注入、xss再到getwebshell

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 02:03:40 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

( T- Y+ C4 v2 _0 \! K
8 v/ n- u: y1 w! T: q* J

. @% ` J- m* r

# s2 K" O9 m1 Y 1、 发现注入漏洞
# Z9 b& }+ s6 A# ]; _
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
9 X" L. H! W% f0 ^* E' B
11-1.png
7 t. @) x7 S: U9 b. w2 X. e
利用k8工具自动分离账号和密码
. A& {# n- f- z7 R3 F* Y( L
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
. A9 b3 T; w7 C P! c9 y# k; K
* Z. N0 J1 d2 U; Y) b6 T3 [2
xss跨站获取网站后台
8 U; N* S2 c2 z, v9 y) ~; Z8 ]
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 " o% \( c% K! X. }$ ]% L5 K% v

7 k' E/ b6 w- U& w$ v

3 T& e! i9 N& G- I5 Q; c9 e1 |' |5 ] 2、 如图:
+ C: z6 n+ y/ O! b! D0 I; _
H! ^* K2 D( r, G/ z3 b
; \! {& R, Q! m4 a
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
/ f: g$ H4 B1 B. B' F# _
3.png
$ S7 o$ g0 c0 ^& A9 [* t
& I8 K8 Z( {5 U( t8 ?& x 3
、不使用账户密码登录后台
+ }. Z: f( p/ {9 y
% T, P5 @7 H( \) z) @ecshop2.7.x
cookie过滤不严漏洞
, r G- I) H4 u5 g) z( r) Fecshop
有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code
5 g& A! D& j6 h+ L/ d& ]
下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
, T6 q, [% B G+ N. ^( R" [
4.png
* z/ V9 r) k+ E7 W( r. N1 d, I
+ c* s; s, \, P# h/ ^) i
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
. N1 [' B- b* Z
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
; U5 e ~4 {0 e& s) G/ {- _7 j
5.png
( ~; f p% N; G# [ A
+ {- s* V& p$ @5 F+ w4
、后台getwenshell
O9 Z2 ?3 l3 |5 }' J' g4 A8 e
% a! g* C& A2 n+ ` C
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
3 M; `- R0 y+ h9 v4 p* z
: f5 m/ l2 |8 G2 J
6.png
: q: ^2 O( Q& \* c! q1 I2 Q
, y% M" K( j9 g+ I. @9 T# t( H
菜刀打开如图:
+ T6 U. i" j. ]) G) J( s
7.png
; @" h* [5 ?% @' ~, Q
. ]* h( j3 p, V g' x
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
# o2 q/ D/ L( {+ Z- U
8.png - }, P' r& V% N; @- D9 D W

: p8 t$ M: L0 d5 A1 O

0 U# j; b: H: a' z, w   - V& v. e2 Q* a! @

c# N0 \0 F u. Q9 i0 S& A

& L8 `' U) O* p, y5 A+ g   $ f: F g: d7 C

: }1 [; O1 y" F# ~3 N

) J B$ X% a* n0 {' P0 b 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了saltmd5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.xcookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! " ?7 e5 n R& }

4 z7 R5 b' f2 ]/ g, f0 _8 H

# V& P( K* d7 H+ ~
/ Z7 D! X( E; [3 M$ V

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表