|
) G& z: c9 K7 ]& b3 Q6 m( o
" [) \* [; [! H7 u
: D" c, z6 r+ j( ~' K" h9 ~3 i. P- ^, {" T: I
1、 发现注入漏洞 % ?/ q' v' Z: c! i8 f1 C( Q2 y
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
# ^% k, i% C+ i L4 \
' [: a. n; f# V3 l$ @2 |利用k8工具自动分离账号和密码 8 y8 `4 T( Y7 V6 q6 A% N6 v
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径 & m7 @* w0 q2 J& G$ ~
9 P. C$ a& B0 C' Y6 z" z2、xss跨站获取网站后台 - p8 q3 W& L; B7 J, P) i5 W+ m
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 . I2 Y( X: s- |# k4 ^* y4 ?( T6 ~3 _
8 m8 v1 D- f. v1 Y1 m$ ]- J! g
* A- m3 K. T1 C: L' b6 d 2、 如图: - `# b' S! u# D2 P$ T/ w
 % o3 Z8 w. q1 \* S0 C* O
9 @ i p0 M3 m! y7 D4 |' b没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
( {8 G$ Y* T: y, n + e! T$ C+ q% U- o. ]
& b4 A6 v+ ^8 H% F( e! v2 Q* F
3、不使用账户密码登录后台
8 M! o+ q. a) T% d4 ~" G # d+ q9 `0 A# G
ecshop2.7.x的cookie过滤不严漏洞
0 f" l' s+ k) M/ becshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
1 Y, ~5 b- p& W. S# |下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图: 1 M( v2 a# E r, ?) B
 4 V% u2 z! l) ]' l7 H
$ ?7 U2 }; q* L1 i& c, q下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
9 Q+ B( `" n9 O6 L/ y然后适用k8飞刀打开,先设置普通cookie,如图就登录了: - j0 G9 S p/ y
 - v9 H6 t/ a% O! T4 J i" `5 h: M
" r6 h m7 \$ g2 Q2 C& z4、后台getwenshell / X& F# g4 O$ x W' w5 @
7 D9 C* q+ ~3 G6 b" F8 q5 {
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
+ X( ^3 ]! W5 h! i6 `6 z6 V7 m
0 X* m3 E( F% ~& k, l6 c4 p) Y0 F8 O & P) w0 Y9 D k6 j2 [6 b
/ o# R$ T6 }/ ~4 w1 W
菜刀打开如图:
) Y4 e6 L2 \& y6 i( v1 r. m3 |
( u8 I5 P4 Y* D2 R7 W9 Z2 a
& f: i: ~# {2 }) V# G8 t% p. O$ F执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
, q; }2 e& r1 ~# E; b& h' B * }9 J) F8 a; C9 V% F5 A2 v
7 m" m. C3 g3 Z: x
# S; l+ ]' P: t
& n% h; S; C+ A" a9 I ! X' ^1 _; [% Q5 r1 k5 d' f
- X5 ?) V# T* z: Z" o
: l- g9 v2 | k; U- q v % u7 l# k2 Y2 B4 Y# B( J g0 G$ T1 a
8 a; u: e6 v: b6 W9 W
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
# P7 @; n' D8 W/ u6 e' w0 e4 _ 9 K' g% e9 L/ n/ z( |
: c' ?- v/ ]4 e
+ t& H# u2 Q7 j' x! d* b$ h
|