当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061744

漏洞标题:PageAdmin某处用户控件可留ascx后门

相关厂商:pageadmin.net

漏洞作者: wefgod

提交时间:2014-07-01 11:07

修复时间:2014-09-29 18:08

公开时间:2014-09-29 18:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-04: 细节向第三方安全合作伙伴开放
2014-08-25: 细节向核心白帽子及相关领域专家公开
2014-09-04: 细节向普通白帽子公开
2014-09-14: 细节向实习白帽子公开
2014-09-29: 细节向公众公开

简要描述:

很有意思的地方。ascx文件有多少人关注过可以做这事情的?想必压根没人会关注他!接着上一发http://www.wooyun.org/bugs/wooyun-2014-061699 继续!

详细说明:

先说明一下,此漏洞产生还是在后台,如果真要直接搞shell的话,估计还是要配合我上一发漏洞一起使用。
但是别灰心,就算此问题是后台产生,也有他的“教育”意义
直入正题!
找到专题管理——增加专题

image026.png


这里有一个所谓的生成路径,看起来好像可以生成文件?先看看可以写个一句话吗:

image028.png


按上面应该是在zt这个目录下,点击先提交:
专题的路径是http://www.youlu888.com/e/zt/
访问看看是否有生成asp.aspx:

image030.png


似乎失败了(但是神奇的是官方demo还可以生成,估计demo没更新),但是打开专题看看:

image031.png


image032.png


看见木有?相对路径出来了,是写到ascx文件中的,既然提示错误了,那肯定就是一句话在这无法使用了。
既然如此,就写出符合ascx的代码,写个shell就得了!(注意,ascx文件是无法直接访问的,必须间接调用)
先了解下什么是ascx文件:
一句话说,ascx就是用户自定义的控件,比较简便,利于代码重用。
微软的一篇ascx文件相关文章:
http://msdn.microsoft.com/zh-CN/zh/library/26db8ysc(v=vs.80).aspx
上文包含有一些解释和测试代码。其它不多说。
我自己改了点代码,给大家赏玩:

<script runat="server">
public void WriteShell(object sender,EventArgs e)
{
	System.IO.File.WriteAllText(HttpContext.Current.Request.PhysicalPath+".aspx","test by wooyun");
}
</script>
<form runat="server">
<asp:Button ID="Write" runat="server" Text="Write" OnClick="WriteShell"/>
</form>


实际上和一般的aspx页面没什么很大的区别,将上面的代码写到专题去试试:

image034.png


访问专题页面:
http://www.youlu888.com/e/zt/index.aspx?id=16

image036.png


注意看标红的地方,出现了一个write按钮!点击按钮,在zt文件夹下就生成了一个index.aspx.aspx文件!

image038.png


稍微修改后得shell:

image039.png


看看生成的ascx文件的路径:

image041.png


再看看zt下的index.aspx如何调用的ascx文件:

((web_bottom)userControl2).SiteId = this.aZUeyARO8j;
                    int num;
                    ((web_bottom)userControl2).ZtId = num;
                    placeHolder = new PlaceHolder();
                    UserControl userControl3;
                    zt.QFuVKyqBFXPrDMBe8c6(zt.C6k7EwqEg00l65Ft8IA(placeHolder), userControl3);
                    UserControl userControl4;
                    placeHolder.Controls.Add(userControl4);
                    flag = !File.Exists(base.Server.MapPath("~/e/zdytag/zt/" + num + ".ascx"));
                    arg_353_0 = 1;
                    continue;


以上只是部分代码,但是代码混淆了,将就看看吧!
最后附上官网截图:

image042.png


是不是可以加后门了?
哈哈我肯定不做那事情,放心。
另外官方demo版本似乎较低?生成专题页面的漏洞在我下的版本默认情况下似乎是木有了的,为何在官方却还可以写?http://demo.pageadmin.net/zt/asp.aspx 生成的页面。

漏洞证明:

嗯,我们回头想想,延伸一下,类似这种ascx后门的意义
比如我截图几个常见的扫描webshell的工具:
暗组的,默认只支持
*.asp,*.asa,*.aspx,*.asmx,*.ashx,*.cer,*.cdx,*.idc,*.inc,*.php,*.php3,*.php4,*.pshtml,*.jsp,*;*,*.lbi

image044.png


看看查杀结果先:

image045.png


且不管误报,我们用自定义控件生成的一句话index.aspx.aspx他是查出来的,但是由于默认规则没有ascx,所以并没有扫出我们的小小高级后门呵呵呵呵。
再来看看啊D的扫描结果:

image047.png


检测类型已经是全部了……
实际上ascx类型在一般的情况下确实是会被忽略,但是在这里如果管理员不注意的话,这可是一个非常不错的后门啊!今天删了明天还会有。

修复方案:

这个要处理似乎比较难。因为专题页面按官方的代码来看是必定要调用用户控件的,这也就直接带来了隐患。临时解决建议还是加一层检测,检测是否有某些特殊字符,比如System.IO什么的。

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-07-01 11:19

厂商回复:

感谢漏洞作者,我们会后续完善。

最新状态:

2014-09-29:这个不算漏洞,pageadmin后台为了高级用户扩展,用户都可以自定义asp.net语句。

漏洞评价:

评论

  1. 2014-05-21 16:37 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    用户控件也能当后门啊,大哥叼炸天了

  2. 2014-05-21 16:38 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    神啊,请赐予我力量吧

  3. 2014-05-21 16:38 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Moc 可以啊,我头一次遇到这样的例子之前我也没往这想

  4. 2014-05-21 16:39 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @小川 虽然我只是打酱油的,但是也顺便给你点力量

  5. 2014-05-21 16:41 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @wefgod 膜拜

  6. 2014-05-21 16:50 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    好牛逼!

  7. 2014-05-21 16:52 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    好牛逼!

  8. 2014-05-21 17:17 | 宇少 ( 普通白帽子 | Rank:106 漏洞数:41 | Jyhack-TeaM:bbs.jyhack.com 群:308694453...)

    擦,这么叼。牛

  9. 2014-05-21 17:43 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @wefgod 虽然我只是打酱油的,但是也顺便给你点力量,来来来,给点小宇宙

  10. 2014-05-21 22:08 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    @寂寞的瘦子 开门。快递送小宇宙来了

  11. 2014-05-21 22:23 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Mody 他不在,我代签

  12. 2014-05-21 22:25 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    @wefgod 目标出现,爆破一组,上

  13. 2014-05-26 19:53 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    ascx 可以访问生成你想要的shell

  14. 2014-05-26 19:55 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    还可以做接口调用 甚多.

  15. 2014-07-01 11:06 | PageAdmin(乌云厂商)

    @wefgod 您好,此漏洞请重新发我一下,谢谢。

  16. 2014-07-01 11:07 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @PageAdmin 请及时确认

  17. 2014-07-01 13:03 | magerx ( 普通白帽子 | Rank:257 漏洞数:45 | 别说话。)

    又被你玩出花样了

  18. 2014-07-01 13:41 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    大牛现在职业刷洞啊

  19. 2014-07-01 14:14 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    这个得学习下,这么吊。

  20. 2014-09-30 09:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    既然pageadmin官方觉得这个不是问题,那还是留着吧,别改了,以后说不定哪天遇到了还方便

  21. 2014-10-17 22:39 | hzh4k ( 路人 | Rank:0 漏洞数:1 | 基情四射)

    后台怎么拿shell啊! ascx代码访问生成shell

  22. 2014-10-31 17:57 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @hzh4k 看zone里面

  23. 2014-11-16 23:55 | 贱son ( 路人 | Rank:6 漏洞数:3 | GE0)

    分析得很给力!!