PageAdmin多处设计缺陷可getshell

text3 = now.AddSeconds((double)random.Next(3600, 86164)).ToString("yyyyMMddHHmmss");
 master_login.imMAPgbr7QUplCu6n3e(httpCookie).Add("Valicate", master_login.sxW4jRbFsutFEAxed8S(md, text3));

管理员登陆成功，SetCookie

登陆时间+（3600，86164）之间随机的秒数，进行Get_Md5运算。

public string Get_Md5(string s)
 {
  MD5 mD = new MD5CryptoServiceProvider();
  Encoding encoding = Encoding.GetEncoding("UTF-8");
  string s2 = "pageadmin cms";
  byte[] array = mD.ComputeHash(encoding.GetBytes(s));
  byte[] array2 = mD.ComputeHash(encoding.GetBytes(s2));
  StringBuilder stringBuilder = new StringBuilder(32);
  for (int i = 0; i < array.Length; i++)
  {
   stringBuilder.Append(((int)(array[i] + array2[i])).ToString("x").PadLeft(2, '0'));
  }
  return stringBuilder.ToString();
 }

将字串s MD5之后和pageadmin cms MD5之后的字串每2位进行16进制加法，再拼接在一起。

pageadmin cms是硬编码在这的。

还是老问题，得到lastlogin_time，我们就可以生成valicate进行cookie伪造了。

可能的valicate有86164-3600=83164个，平均40000次可以得到valicate，在可以接受的范围内。

lastlogin_time:

前台会员中心处，e/member/index.aspx?type=mem_idx&s=1

Cookie添加Member=UID=2&valicate=1。

UID=2为管理员UID。只要Valicate不为空就会进入权限验证，验证失败，js跳转。。。得到lastlogin_time，生成Valicate，暴力验证登录后台。

后台直接执行SQL，操作aspx文件。。。

图片为本地搭建环境，人品一般，大概需要40000多次

Get_Md5中的pageadmin cms用户可设置

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-11-22 17:31

厂商回复：

感谢白帽子，已经修正了此问题。

最新状态：

暂无

1. 2014-11-21 18:44 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   2

   说好的poc呢

   1# 回复此人

2. 2014-11-22 13:13 | Vigoss_Z ( 普通白帽子 | Rank:467 漏洞数:73 | 楞娃)

   2

   @xsser 原标题是(附python版poc),结果手抖没加上去,现在添加不了poc.是不是又该增加功能了

   2# 回复此人

3. 2014-11-26 17:44 | Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)

   2

   @Vigoss_Z 没事 你可以在评论中加上POC

   3# 回复此人

4. 2014-11-27 08:18 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   2

   我去，给力啊多处

   4# 回复此人

5. 2014-12-12 21:09 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   2

   原来这是说的多个问题合并可以拿shell？前面那部分他们没改吗，我之前的漏洞也提到了这个问题了。不过如果数据库是access的话，没办法直接操纵aspx文件吧？

   5# 回复此人