|
: V6 h$ w! V, `" j4 E
" V0 U- D" R( l% y! A; X) i" U1 ]/ @3 w- n
' m' B, [- V2 D
8 [4 g' q4 q" V: D* `% w, q 1、 发现注入漏洞
0 f2 b% V9 [9 w" o1 S8 h
http://www.test.cn发现有ecshop2.7.x支付插件漏洞,手工测试几次都没成功(之前测试是成功的),利用k8工具爆出管理员如下:
/ F' O$ T, ^, \8 Q4 a* A0 c) ?' \- l
7 ^4 |; z! a+ F& `; e
利用k8工具自动分离账号和密码
" b6 h8 E9 j8 s. z2 S9 v4 g3 w
经过各种扫描没扫描到网站后台,这时候想到利用ecshop xss漏洞获取目标网站的cookie和后台路径
, p- o4 Q$ h2 A
. A1 k; l" r% u9 m* m2、xss跨站获取网站后台
: b/ a8 P$ S% w) P0 ?* m注册账号,购物商品直接结算在邮箱处填写跨站代码(之前已经搭建环境测试过了,用的payload就是普通的获取cookie的代码),注:利用黑盒测试,发现了onmouseclick事件触发xss和直接查看订单就可以触发xss的两个漏洞,本地搭建环境测试onmouseclick这个漏洞,需要鼠标移动到订单处才可以触发,很鸡肋,最后还是挖到点订单即可触发的xss漏洞。 p4 ]3 M% b" f
* a9 _* ^% i4 Z c2 ^& \& E2 ~
/ u' J- w- J0 Y: Y) g8 _& [3 S
2、 如图:
7 m6 N3 c2 u% L( S4 W6 D. D' u2 R
. f6 B( K5 Z6 A( f" g4 b# m7 j
3 o0 L0 c5 F6 p% Q没过多久打到cookie了,由于这个xss漏洞是直接打开订单就触发,作为管理员肯定是要看订单的详情的,所以很快就上钩了,如图:
& ^" C9 P1 ^' `! L: ?+ v
% u5 I4 H1 i7 @2 t
y: A: l! x# w+ Q8 R" @
3、不使用账户密码登录后台
8 _2 I w i6 p5 K! k& ]# ?
; N2 q7 i8 b. W) u0 i& secshop2.7.x的cookie过滤不严漏洞
$ G" }! t Q$ ]% p8 a Fecshop 有一个表ecs_shop_config ,里面有hash_code 貌似2.7.2 和2.7.3都是 31693422540744c0a6b6da635b7a5a93,正好我们要搞得就是其中的一个版本,所以就不用再手工注入hash_code了
4 I$ x% k3 u3 f5 | |下面我们用k8把爆出来的md5与这个hash_code加密成md5 32位,记得爆出来的md5在前,如图:
+ c2 m6 E2 F: ]9 r! g U+ r
3 y$ N6 [, D( M7 w
1 t0 s0 P; c, L" k* V% p
下面我们构造一下cookie如下:ECSCP[admin_id]=1; ECSCP[admin_pass]=7879826146588a2294aaboood6ac58b4; ECS[visit_times]=2; ECS_ID=e4ad4c650ef82ef53ff93cd5149098c531ce8dc8; bdshare_firstime=1376041144528; ECS_LastCheckOrder=Fri%2C%208%20Jul%202016%2015%3A19%3A54%20UTC; Hm_lvt_90cd7b7d1eb4e1ec87e8eb169aba582f=1467982221; QIAO_CK_6565599_R=; ECSCP_ID=330778831b3c0d3708776a9290886992a2b044da
# ^2 j6 h' O# { D然后适用k8飞刀打开,先设置普通cookie,如图就登录了:
) u5 c) y: ]) e9 {. h, v
3 n6 L3 T% {" D! i, M+ ~
; C. U: K# C' E& h3 W" f. c
4、后台getwenshell
. C, U* ]8 V, H1 H, d8 a0 ^
& `$ ^6 P5 g# k) S. ^, @% Y. w0 h在后台库项目管理-myship.lbi-配送方式里写入一句话如图:
( S& ]* g2 B6 A3 ~8 s& q0 O# ?
( d4 f: Z$ j# d `7 H
0 l4 h' R2 d3 r2 g7 `5 ]8 w
2 n0 }' M; N$ A. R菜刀打开如图:
2 N& R. g; f0 N! @6 o
4 f+ A4 l. t6 o; c) S
- C2 P* a" ~2 a: H2 c7 j7 T- p执行命令发现2016年的主机 且内核。。。提权就直接放弃了如图:
7 ~) p" D# w2 D: }+ H% _
 ' c+ y# r6 a' G8 p
1 D2 [! ^+ Q: g* b7 e! ?8 J+ F( U2 e) h T1 ~( x
1 R: ^1 z- c/ `( e5 }. |% p
- n! u- g7 H1 i- n. s; J
1 H4 X& z3 a! R& t7 J- R
- t1 h; X+ V/ n; G! T7 o 4 [5 y- x! n* U% X% A% U7 D0 u# N9 k
( k: C+ K5 e; ~- F# K" v0 T 总结:利用ecshop2.7.x的注入漏洞先注入出存在的账号和加了salt的md5加密值,由于无法扫描到后台,所有利用xss漏洞获取到后台地址,再利用注入出来的账号和密码加密值结合ecshop2.7.x的cookie过滤不严漏洞进入后台,最后利用ecshop后台myship.lb模板getwebshell,这个项目的完成是几个漏洞的组合,只要其中一个环节不通,直接会导致渗透失败,所以尽可能的掌握一套程序存的所有漏洞,在渗透测试关键时刻是非常关键的,这就是鄙人的对这个项目的总结,谢谢大家的观看! 3 V) c# o# ~2 W9 W3 k2 R
% K" I5 a$ q7 U
$ e; y9 M+ C- w. \7 e
; P2 |, A- t$ U3 l9 q" e | 
发表于 2022-3-31 02:03:40
收藏
支持
反对