PageAdmin Cms V2.0 getshell 0day

黑小子在土司公佈了「PageAdmin cms getshell Oday」，並給出了一個漏

 

洞的利用EXP。通過危險漫步在虛擬機裏測試，存在漏洞的是PageAdmin Cms的次最薪版本PageAdmm CmsV2.0，最新版本pageadmin v2.1 20110927不存在這個漏洞了。利用漏洞能夠直接得到shell，危害仍是很大的。

 

1、漏洞簡介

 

PageAdmin Cms是集成內容發佈、文章、產品、圖片、招聘、留言、自定義模型、採集等功能於一體的企業級網站管理系統。

 

漏洞公佈者黑小子已經給出了漏洞分析，這裏直接引用：

 

這個程序有個fckeditor，悲劇就在這裏了。不過程序它在upload.aspx裏面卻是驗證了權限。任意上傳<%@ Page language=」c#」Trace=」false」Inherits=」FredCK.FCKeditorV2.Uploader」AutoEventWireup=」false」StylesheetTheme=…’%>可是在connector.aspx這個裏面就是一段

 

<% @Page language=」c#」Trace=」false」Inherits=「FredCK.FCKeditorV2.FileBrowserConnectorfl

 

AutoEventWireup=」false」StylesheetTheme=…’%>我不會.net因此徹底不知道他這個代碼是什麼意思可是通過測試這個代碼一點用處都沒有！能夠任意文件上傳，../../任意跨目錄！上傳能夠本地構造test.html。

 

我我的的理解就是PageAdmin Cms v2.0用到的FCKeditor存在任意文件上傳漏洞，苛且能夠自定義上傳文件的目錄。

 

2、漏洞利用

 

爲了測試漏洞，我下載了存在漏洞的PageAdminCms V2.0的源代碼，在虛擬機裏的Windows系統中把PageAdmin Cms V2．O安裝了起來。網站在虛擬機裏的訪問地址。

 

下面來看漏洞利用方法。PageAdmin Cms V2.0中FCKeditor默認在管理目錄master下，虛擬機中connector.aspx的URL。

 

一、利用test.html上傳得到shell

 

因爲FCKeditor存在任意文件上傳漏洞，因此能夠經過test.html直接上傳shell，但程序中的test.html被刪除了。刪除了沒關係，我從別的沒被刪除test.html的FCKeditor中複製了一個test.html出來，稍微修改下就能夠利用。用記事本打開test.html，搜索connector. aspx，找到後補齊connector．aspx的完整URl。保存對test．html的修改，而後用瀏覽器打開test.html，會有安全提示，選擇「容許阻止的內容」。

 

「Connector:」選擇ASP.Net, 「Current Folder」和「Resource Type」都保持默認，經過「瀏覽」按鈕選擇要上傳的shell，這裏我選擇了ASPXspy2，點「Upload」後下面顯示空白頁，好像上傳成功了，點「Get Folders and Files」，看到了文件上傳上去的名字，在/upload/FCKeditor/File/目錄下，訪問卻提示「沒法找到資源」，打開upload\fckeditor目錄下，根本沒有File子目錄，而是有一個目錄，也就是當前的年加月份，中間用一鏈接，打開文件夾，裏面有一個文件夾File，打開File文件夾一個.aspx文件躺在那裏了。原來shell的地址中FCKeditor和File之間要加一個當前年月的文件夾，訪問URL以後找到.aspx文件，就得到了shell。

 

二、利用EXP得到shell

 

黑小子給出了一個用PHP寫的漏洞利用EXP，能夠直接得到shell。EXP的代碼就不貼出來了，有想要的朋友們能夠來聯繫我。

 

 

 

 

把代碼保存爲文件pacmsexp.php，放到了虛擬機系統中的C盤根目錄下。因爲EXP是用PHP寫的，須要你安裝PHP後才能使用，危險漫步的虛擬機的Windoes 系統中已經安裝了PHP v5.3。打開命令提示符，切換到C盤根目錄下。輸入php pacmsexpplip回車後就能夠看到EXP的用法了(PHP的安裝目錄已經被我加進了環境變量path中，因此不用輸入php．exe所在的路徑）。

 

EXP的利用格式爲：

 

php pacmsexp.php site path

 

其中site就是存在漏洞的網站的域名或IP地址，path是PageAdmin Cms V2.0所在的目錄。輸入php pacmsexp.php 127.0.0.1，回車，會看到一個光標在閃，提示「Exploit Success」，而且已經給出了shell的地址是aspx-'句話木馬，密碼爲90sec.org,用工具鏈接也得到了shell。

 

PageAdmin Cms v2.0 getshell Oday以及利用漏洞兩種拿shell的方法介紹完了。經過搜索「PoweredbyPageAdlnin V2.0」等能找到可能存在這個漏洞的網站。