0x01 鉴权分析
在这个系统中,对用户有两层鉴权:
第一层是使用了.NET中的一个 HTTP 模块FormsAuthenticationModule方法,它的主要作用是管理用户的身份验证过程,包括用户登录、身份验证票据管理、重定向到登录页面等。在处理主要逻辑的OnEnter方法中
首先会通过AuthenticationConfig.AccessingLoginPage检查当前请求是否在访问登录页面,如果正在访问登录页面,则直接跳过授权步骤。如果没有跳过授权检查,则调用 SetSkipAuthorizationNoDemand 方法,根据请求是否为有效的 Web 资源请求来决定是否跳过授权检查。
第二层鉴权方式在AdminPage类中,是该系统自己实现的方法,执行类的时候需要继承该类,首先查看OnInit方法,它在页面初始化阶段被调用,用于执行初始化工作。
在CheckPageAccess中会检查当前用户是否有访问当前页面的权限。如果不符合条件则被重定向到其他页面,如果都符合则继续后面的流程
- 检查用户是否是站点管理员。如果不是,将其重定向到登录页面。
- 如果是站点管理员,检查用户是否是管理员。如果不是,检查当前页面是否需要管理员权限。如果需要,将其重定向到访问被拒绝页面。
- 检查用户是否具有页面所需的特定权限。如果没有,将其重定向到访问被拒绝页面,并附带权限信息。
在寻找哪里有授权操作的时候发现登录逻辑处存在一个后门账户SuperMember,密码为MdYdt2017Admin,会直接登录userid为1101的账户,通过数据库查看1101正好为admin管理员账户
从上面两个鉴权方式我们还发现Iuser user的获取方式也有两种,一种是通过HiContext.Current.User方式获取当前user对象,另一种是通过Users.GetUser的方式获取user对象,事实上我们查看HiContext.Current.User方法,他也是通过Users.GetUser方法获取的。那么我们就主要来看看Users.GetUser方法
当鼠标放在Users.GetUser方法上时就会显示该方法有3种重载,
分别是IUser GetUser(), 会通过GetLoggedOnUsername()方法获取用户名最后返回user对象
IUser GetUser(int userId)和GetUser(int userId, bool isCacheable),会通过userId获取
IUser GetUser(int userId, string username, bool isCacheable, bool userIsOnline)通过userId或username获取最后返回user对象
所以说我们只要可以控制userId或username可控,且流程的后面不验证密码,那么就可以通过鉴权。
比较有意思的是GetUser()中获取username的方法是GetLoggedOnUsername(),而在这个方法中,是直接取了cookie中的Vshop-Member参数作为username的,所以如果其他地方直接调用了GetUser()或者先调用GetLoggedOnUsername()再将获取的值传递给下面重载函数中也可以通过鉴权。
在这个漏洞中,由于该类继承自AdminPage,所以无法通过GetLoggedOnUsername方法绕过,但是由于系统存在后面账户,所以可以通过后门账户登陆后进行上传操作。
0x02 漏洞分析-文件上传
该系统存在很多文件上传的接口,但是大部分都对上传的文件进行了检查和限制
发现白名单上传时可以上传zip文件,所以如果可以找到解压zip相关的方法,也许可以上传webshell。
搜索解压的关键字,如zipFIle,ZipEntry等。找到PrepareDataFiles方法中调用了ZipFile.Read并且在下面遍历过程中解压了文件
而PrepareDataFiles方法正在在上面的btnUpload2_Click方法中调用,并且通过ShowMsg看出应该是个上传模板的地方
对应的类为ManageThemes首选寻找ManageThemes类对应的aspx文件
但是直接访问该aspx文件会跳转到登陆页面,看到路径里有admin,所以应该是一个后台的功能。
首先来看Page_Load方法,她通常用于处理页面加载时的初始化逻辑。在该方法中首先会解析xml文件,然后分别为 rptManageThemes 控件的 ItemCommand 事件和 btnUpload2 控件的 Click 事件添加事件处理程序,分别指定为 this.rptManageThemes_ItemCommand 和 this.btnUpload2_Click 方法。
这里我们需要触发的是btnUpload2_Click方法,但是当我们打开对应页面时,却发现页面中并没有上传相关的地方
不死心的我在源代码中搜索上传的关键字btnUpload2发现确实存在相关功能,发现只是通过css隐藏起来了
直接将style中的display: none删除即可看到上传模板的功能
这里我们可以上传一个带有木马文件的压缩包,除此之外,压缩包里必须还需要有一个以模板文件命名的xml文件,否则会在Page_Load方法中因读不到文件而造成报错。
在页面选择文件上传后依然会出现问题,提示无法获取对应模板名称
继续查看代码是怎么回事,发现这里判断是否存在hdtempname的值,并且判断数据包ContentType以及判断hdtempname的值与压缩包文件名是否一样
通过抓包查看,发现默认上传的时候hdtempname的值为空,将其修改为test发包即可上传成功
然后访问/Templates/master/pc/test/1.aspx
在这个漏洞中,由于对应的类ManageThemes在admin路径下,且ManageThemes这个类继承自AdminPage,所以需要管理员的才可以执行。由于在adminPage中并没有直接调用GetLoggedOnUsername方法,所以我们只能使用后门账户进行登陆后操作。
0x03 漏洞分析-远程文件下载
上传文件除了可以通过本地上传,有时候也可以通过下载远程文件保存到服务器上。
在C#中远程下载文件保存到本地有两种方法:使用WebClient类或HttpClient类。
分别搜索这两个关键字,最后锁定这样一处,webClient.DownloadFile的第一个参数是下载的url,第二个参数是保存的路径
这里的下载url也是可控的,通过表单的ImageUrls传参
再向上追溯该方法ProcessTaobaoProductDown的调用,发现在ProcessRequest里,该方法是 IHttpHandler 接口的一部分,定义了一个方法来处理传入的 HTTP 请求。
同时该方法属于TaobaoProductHandler,我们在文件中寻找是否有该字样,发现对应的ashx文件。由于该ashx文件时位于API目录下,并且没有继承于Adminpage所以该方法不需要鉴权。
然后我们使用vps启动一个服务并上传一个木马文件,然后构造payload访问
虽然报错了,但实际上是成功下载了的,报错是因为下载之后的步骤,我们也无需理会了。这样木马文件就下载到了服务器,但这里还有一个问题,那就是保存文件的文件名是通过Guid.NewGuid().ToString("N", CultureInfo.InvariantCulture)方法随机生成32位字符的文件名取代,路径为/Storage/master/product/images/,所以我们还需要想办法获取下载的文件名。
问了一下chatgpt,可以读文件目录的方法也有很多。
在FillTableForPath方法中调用了Directory.GetFiles,在函数的下方对获取到的files进行遍历,并将相关信息放入hashtable中,然后将hashtable添加到list中,而list又被赋值给table["file_list"],这里的table也是一个传过来的Hashtable
然后向上追溯FillTableForPath方法,查看第一个参数text2是否可控,从上面可以看出text2是从通过路径拼接text得来的,而text是通过cid参数赋值,参数可控,可以通过路径穿越获取指定目录的所有文件信息。
但是这个方法是有鉴权的,前面的鉴权分析,User.GetUser的前两个参数要是有一个可控就可以通过鉴权,这里的第二个参数是Users.GetLoggedOnUsername(),该方法可以直接通过cookie中的Vshop-member参数获取用户名,所以只需要在发包的时候在cookie中添加Vshop-Member=admin即可。
发送payload 成功获取到该目录下的所有文件信息
访问目标文件也可以正常解析。
在这个漏洞中,首先通过远程下载木马文件,但由于保存的是随机文件名,所以我们需要获取到文件名。在获取文件名的方法和类中,由于该类没有继承AdminPage,但在方法中有鉴权,所以通过GetLoggedOnUsername方法进行绕过鉴权,从而获取到文件名成功getshell。
文章来源:奇安信攻防社区
链接:https://forum.butian.net/share/3835
作者:中铁13层打工人
如侵权请私聊我们删文
原文始发于微信公众号(黑白之道):某订货系统文件上传漏洞分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论