& v! i; p. w) e( m
$ ~$ a: T0 O' A! C& R5 C% z
# d; S; K1 i& o/ ?5 [
, Y0 o3 a" K- t9 L$ @ 1、 发现注入漏洞 - K# A& X4 s, |5 Z
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
+ L5 U1 I+ i% }7 i4 \" k / U. d5 ^8 q4 x0 k/ e( D
利用k8工具自动分离账号和密码
& Z. k+ t" @+ o3 H9 [! W2 j% {$ c经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径 ( P* x& \, V8 K! b* j8 X( L
9 Y: j) `. m& n7 q# U. @" }
2、xss跨站获取网站后台 & x; ~! R, }" [' X$ \0 {+ n0 `! a/ z
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。
' F% R1 n/ p1 l" T* z" l) R% I
0 }( S8 n+ z0 L8 D4 B6 r4 l4 W" P; M% P* v$ U" O% T' }
2、 如图:
! b8 L1 q! X/ g& Q 1 l+ e! v: q0 U7 ^
% P) N, ~* w2 f+ m& Z没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
# u5 \1 B* m' t ' C( W+ m0 n7 a+ ^
2 k* c' n2 {) I: R* I6 W1 {$ B' [" e
3、不使用账户密码登录后台 + T% l8 V9 w( E. a) q8 g. v) t
9 R, ]7 E9 d7 \) C0 I, v
ecshop2.7.x的cookie过滤不严漏洞 $ M6 t1 _" O6 K) s3 {# ]! }
ecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
' o! ?2 k+ `/ ~1 O& e, W" O下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
/ U9 a5 w* R8 o2 x& r2 b
- g& i0 q# d1 k ~; n: N
/ w6 g+ g0 I! g9 c8 D+ W8 _下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
* w; l% k: ]: @( u6 g然后适用k8飞刀打开,先设置普通cookie,如图就登录了: 6 i* H6 I6 K8 @: h$ D
/ s5 Y' B- l$ v% J* u( Z
: K% J8 Q4 M/ _: t* E0 e5 W: f
4、后台getwenshell ; ^4 s; B0 K! V/ K2 ?3 X5 x$ z
& c6 Y1 C; A1 s, b) I4 g# T8 m4 L; @在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
) j9 n% e3 f4 q5 A/ W9 u& m. T
, j- y6 D$ n3 h4 K$ o 1 Y7 }" x# u! h0 D8 O% a, V
# n/ @" A4 x; }$ D6 C1 g9 l
菜刀打开如图:
$ q l! K# l' \( x+ T4 x# V0 J ; J" K/ j" e" b1 B5 D8 T7 k
" k7 C; O% A! W4 m$ t- y7 ?& O
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图: + W6 N+ T ]- @6 T
; d1 s$ C/ z5 {2 P6 H
: A1 E2 c/ v5 Z
% a9 m( b" l6 Q5 U
! Q. o0 Y. f% l! C2 b( |+ _
0 _5 R5 H, u3 l( o' V7 B9 ?" l# V* J3 i0 R N9 P z% U, f
[0 w1 o: o8 |8 U5 m$ X3 X( B
6 y" `: l5 |) Q' W# C
$ P, ]4 }. Q! H: `( D 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看!
8 s9 Z, x( M, p Q, ]. s 7 Z6 \; q/ _/ Y* {; |
) }" N% `; ^4 b, ^8 o3 R6 G
! z: R/ b7 u, ]* B5 w |