PageAdmin某处用户控件可留ascx后门

### 简要描述： 很有意思的地方。ascx文件有多少人关注过可以做这事情的？想必压根没人会关注他！接着上一发http://www.wooyun.org/bugs/wooyun-2014-061699 继续！ ### 详细说明： 先说明一下，此漏洞产生还是在后台，如果真要直接搞shell的话，估计还是要配合我上一发漏洞一起使用。 但是别灰心，就算此问题是后台产生，也有他的“教育”意义 直入正题！ 找到专题管理——增加专题 [<img src="https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png" alt="image026.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623183bcae681267340e10812ac41650e038b.png) 这里有一个所谓的生成路径，看起来好像可以生成文件？先看看可以写个一句话吗： [<img src="https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png" alt="image028.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211623356dc22dc54cbb562529adc8b959567686.png) 按上面应该是在zt这个目录下，点击先提交： 专题的路径是http://www.youlu888.com/e/zt/ 访问看看是否有生成asp.aspx： [<img src="https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png" alt="image030.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2116235632989cba1a8064223dcac5530fad2c66.png) 似乎失败了（但是神奇的是官方demo还可以生成，估计demo没更新），但是打开专题看看： [<img src="https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png" alt="image031.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624198b03a8268dce363448ab23f3c2e6e9db.png) [<img src="https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png" alt="image032.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211624324106654cf0dbc96cac9c6b89d893d418.png) 看见木有？相对路径出来了，是写到ascx文件中的，既然提示错误了，那肯定就是一句话在这无法使用了。 既然如此，就写出符合ascx的代码，写个shell就得了！（注意，ascx文件是无法直接访问的，必须间接调用） 先了解下什么是ascx文件： 一句话说，ascx就是用户自定义的控件，比较简便，利于代码重用。 微软的一篇ascx文件相关文章： http://msdn.microsoft.com/zh-CN/zh/library/26db8ysc(v=vs.80).aspx 上文包含有一些解释和测试代码。其它不多说。 我自己改了点代码，给大家赏玩： ``` None ``` 以上只是部分代码，但是代码混淆了，将就看看吧！ 最后附上官网截图： [<img src="https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png" alt="image042.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162734dc3805bfd5a76bcca482b14521e5285f.png) 是不是可以加后门了？ 哈哈我肯定不做那事情，放心。 另外官方demo版本似乎较低？生成专题页面的漏洞在我下的版本默认情况下似乎是木有了的，为何在官方却还可以写？http://demo.pageadmin.net/zt/asp.aspx 生成的页面。 ### 漏洞证明： 嗯，我们回头想想，延伸一下，类似这种ascx后门的意义 比如我截图几个常见的扫描webshell的工具： 暗组的，默认只支持 *.asp,*.asa,*.aspx,*.asmx,*.ashx,*.cer,*.cdx,*.idc,*.inc,*.php,*.php3,*.php4,*.pshtml,*.jsp,*;*,*.lbi [<img src="https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png" alt="image044.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628021be934964d02ea596125e6beede066b4.png) 看看查杀结果先： [<img src="https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png" alt="image045.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/21162823981dd130494ca38763e4c0f7d9fe446f.png) 且不管误报，我们用自定义控件生成的一句话index.aspx.aspx他是查出来的，但是由于默认规则没有ascx，所以并没有扫出我们的小小高级后门呵呵呵呵。 再来看看啊D的扫描结果： [<img src="https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png" alt="image047.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/211628432f3e6d66179d2cfb511723679f9b60b5.png) 检测类型已经是全部了…… 实际上ascx类型在一般的情况下确实是会被忽略，但是在这里如果管理员不注意的话，这可是一个非常不错的后门啊！今天删了明天还会有。