|
3 c9 s% N1 G, O* d9 I, f/ E6 s: e* @& l! f
# t# [- \3 o- c0 u9 d. j6 V
# i4 t2 F. R* x) D5 p5 j7 n' n
6 [7 n9 V$ H( c- [+ Y2 i7 F( g. L 1、 发现注入漏洞
. m8 t. l# {# x: @; Z i0 Y; Uhttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
) W' s( Y! N# x, B
7 Z/ l0 D9 X2 f3 [" f. y: U1 a利用k8工具自动分离账号和密码
( L2 h9 q) l4 u3 \6 O& E2 h! f* n s经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
* y+ l7 q1 Q8 ?9 K5 y
9 M5 O7 q/ D0 l
2、xss跨站获取网站后台
! Q9 v7 d# j' T/ I3 r
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 6 U/ J9 ^; D2 p+ |3 s+ O
+ U6 @" ^8 [% Q* F$ b- a @, i ~; w; h/ p
2、 如图:
( v) {" x6 I; C) |0 ]6 d# w
9 y/ I3 g( k1 q4 ^1 ~& I
% g7 N& c6 U( V, B- u
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
& G% f' T, Y8 f0 K( }8 e8 ?$ o
( J1 p, L! r `* m+ L5 r
! S; t; @$ Z+ C# z8 B7 K
3、不使用账户密码登录后台
2 G6 I9 w8 ?& ~8 m
( c* N* d: ` G; y$ Y0 Z0 Jecshop2.7.x的cookie过滤不严漏洞
E+ z$ {5 @. G/ d5 h# Z2 U/ qecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
& c; P0 D( b3 c+ ^. s, t) p% n下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
8 E2 ^3 E% X/ _% }8 U
- R# m$ l( f7 R# t3 [7 q6 l
0 s/ ]1 Y: p- e4 z2 G' h9 S下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
; A4 s5 f. ?' m, S1 j; x1 l
然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
0 h! j+ c H# v# @% X7 H
8 e8 s0 i+ q+ M
% L3 i0 v H+ k1 h! T) N4 K% l& r
4、后台getwenshell
1 m4 w( }. G9 M8 ^& Y/ d
5 d8 T% L3 y' n+ r在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
! X% v6 a! r8 V7 e j3 q/ k3 C$ u& k1 U
2 Y4 Y( y$ x: Q7 Q
9 C% _( h; @" N" _- ?4 |. _
$ c& e' v% x, I9 a; w+ G! b
菜刀打开如图:
5 j$ D. b. N. B# A7 ~2 Q
, L: E% ^5 m g9 J9 A9 O
, h, s5 j# U; L# ^' P8 _) @2 F
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
3 k/ x0 H. `- R6 P
 0 m1 k! ~1 G5 j5 D# r, M7 c
; T; r; ^/ |+ ^: {$ g! f" ]( g
7 V( c( ?4 g; o3 \0 T% L# X
: q6 ^$ S- h, a* V* n+ m& Q c 6 u c* {6 r% \3 n7 {6 R4 S
3 A; N7 Q' J; }+ p
) E* D" V* k( }6 R6 i; t : E+ ?3 P, R/ m: s7 c( c8 S. Y
, b; ?+ w" Y) R% F, f& S
总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! * |1 U% N b6 R1 S# l' ]
+ I, E# u3 I: |/ M0 V
% t P; |% [$ E" p0 S
8 ~: \# v7 A; V | 
发表于 2022-3-31 02:03:40
收藏
支持
反对