|
( G Q6 k+ ]$ b/ d! G
) x8 [/ ]" g" ?/ E- ?" L( @; Q, G 4 o# H/ w, Q6 U* Y; ~& J8 K/ {
+ p6 a! _( I" y- ~ 1、 发现注入漏洞
" t3 ]0 a5 ?% b( f% thttp://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
+ k! h1 d8 U$ ?5 m2 T$ q/ d
& f- B8 X( D0 L5 v( o5 V利用k8工具自动分离账号和密码
/ o' d4 r% A6 h4 s
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
9 z# \4 P z# D$ \
. e% a0 {( K! z/ j: Y5 ?2、xss跨站获取网站后台
; j8 s. w& B& y$ G; T4 ]
注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 k) _) X# S8 r" h# S
9 W; _* ~. \0 h' t
2 A, v0 |6 t6 ? E5 Q& |: G 2、 如图:
" a/ W% m" q; k
5 }8 v. z% F% T$ |5 M8 m0 T
4 a: o o# R* }/ g- g
没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
8 y: O1 A4 M N y' t
7 D& n5 ]$ \! B, j
5 I1 M! g) ^ t4 ~: h W# d
3、不使用账户密码登录后台
/ U5 H( c, O6 b
) F2 ? R* |8 E) L9 Z1 S
ecshop2.7.x的cookie过滤不严漏洞
8 k& B# [7 Q4 }/ h% Pecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
/ z$ A* b" k! w( w0 z& q3 a2 T& Q+ Y下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
4 |$ _- e4 M% q
, g, e( A6 N8 l
7 i T* \2 h5 [, m4 x; y& _下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
3 B- c, L$ D" ]7 b* b: ?+ J- K然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
* X0 A9 I# ?0 s
( s4 C0 A2 n9 g+ C
7 [! T1 m9 R F% K* A
4、后台getwenshell
3 `1 _3 x+ J! D" c: y: b! }2 a r
8 u+ x4 P0 S0 h
在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
3 u% I2 _" S2 o0 ^/ B5 M
3 _' Q) E2 [9 S
" u4 ~, X7 x! [+ _6 ^ i
/ ]! n; i' ^6 S- x/ k9 p菜刀打开如图:
9 Q# Z1 y, \8 C) S [* U
. I2 T9 e5 n3 }5 \4 x* X
2 `# x1 @2 q$ i
执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
, |5 E8 I( Z8 R5 ^
 * a+ H1 s6 E P5 v M, w
0 T2 V* M% `- {5 H- ]% S+ e6 o0 j
' t* O. D2 L, J, u! Z , z" Q2 p1 @4 N
0 |- Z/ K5 Y, x1 g7 M5 b* @* ?! N C. }+ s
7 L, f9 L0 h6 R, ^ O4 s+ m% \
2 t# z; A! X2 O
- [) y+ V4 t+ `1 ~ 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! : X2 J+ S/ _! P: M8 I
9 e- P+ t) r# w5 H; J
+ t1 P" P, a% b% o( \
+ V+ g _7 _0 g6 G' d9 S- }6 r | 
发表于 2022-3-31 02:03:40
收藏
支持
反对