WooYun.org

先关注下一些后台相关的页面。比如createDB.aspx这个页面，看看后端的代码（就是cs文件）：

public partial class createDB : ROYcms.AdminPage

很明显可以看出，都是继承了父类AdminPage的，再转到AdminPage.cs围观下部分主要代码：

protected override void OnPreInit(EventArgs e)
{
       base.OnPreInit(e);
       ROYcms.Config.SessionData.SessionKey = "administrator";
       if (!ROYcms.Config.SessionData.IsLogin()) 
       {
           Response.Redirect(string.Format("~/administrator/login.aspx?Page={0}", Request.Path));
        }
         ……
}

在这个初始化的方法中我们可以看见他为SessionKey赋值administrator，接着关注下IsLogin()这个方法的主要代码：

public static bool IsLogin()
{
       bool ret = false;
       if (ROYcms.Common.Session.Get(SessionKey) != null || ROYcms.Common.cooks.GetCookie(SessionKey) != null) //问题所在 
       {
            if (ROYcms.Common.cooks.GetCookie(SessionKey) == null)//如果该cookie为空……
            {
                    ROYcms.Common.cooks.SaveCookie(SessionKey, ROYcms.Common.Session.Get(SessionKey), 2);
             }
			//如果cookie中的SessionKey不为空的情况下，分配cookie！
             else { ROYcms.Common.Session.Add(SessionKey, ROYcms.Common.cooks.GetCookie(SessionKey)); }
             ret = true;
}
return ret;
}

可能看代码有点乱，简单分析下，最开始用了一个或条件来判断，第一个条件是session中保存有sessionkey的值就可以继续执行下面的代码，第二个条件是cookie中的sessionkey不为空。看看上面我们提到的给sessionkey赋值为什么？
ROYcms.Config.SessionData.SessionKey = "administrator";
简单说，我们虽然无法控制服务器端的session是否为空，但是我们可以控制我们本地提交的cookie是否包含有这个字段！接着看：
if (ROYcms.Common.cooks.GetCookie(SessionKey) == null)
如果cookie中的administrator字段为空……则执行下面的分配cookie到本地的操作。但是如果这个值不为空呢？执行下面的else分配session：
else { ROYcms.Common.Session.Add(SessionKey, ROYcms.Common.cooks.GetCookie(SessionKey)); }
也就是说，当cookie中的administrator字段不为空的时候，无论该字段是什么值，服务器都会为你分配一个session！自动的把你当成已经登录的管理员了！
上面的代码我们也可以看见，基本上就是两点：
1. 判断session是否为空，不判断session某个键对应的值；
2. 判断cookie中的指定字段是否为空，不判断该字段内容是否是伪造的、是否是合法的。
为了验证我们的想法，再看login.aspx.cs中的protected void AdminLogin_Click方法的一点代码：
ROYcms.Common.cooks.SaveCookie("administrator", username.Text.Trim(), 2);
看见这段代码就知道，服务器分配给客户端的cookie，也基本只是包含这部分自定义的字段（当然肯定也会有sessionid，那个不用明文写出来）。