黑小子在土司公布了“PageAdmin cms getshell Oday”,并给出了一个漏

洞的利用EXP。经过危险漫步在虚拟机里测试,存在漏洞的是PageAdmin Cms的次最薪版本PageAdmm CmsV2.0,最新版本pageadmin v2.1 20110927不存在这个漏洞了。利用漏洞可以直接获得shell,危害还是很大的。

一、漏洞简介

PageAdmin Cms是集成内容发布、文章、产品、图片、招聘、留言、自定义模型、采集等功能于一体的企业级网站管理系统。

漏洞公布者黑小子已经给出了漏洞分析,这里直接引用:

这个程序有个fckeditor,悲剧就在这里了。不过程序它在upload.aspx里面倒是验证了权限。任意上传<%@ Page language=”c#”Trace=”false”Inherits=”FredCK.FCKeditorV2.Uploader”AutoEventWireup=”false”StylesheetTheme=…’%>但是在connector.aspx这个里面就是一段

<% @Page language=”c#”Trace=”false”Inherits=“FredCK.FCKeditorV2.FileBrowserConnectorfl

AutoEventWireup=”false”StylesheetTheme=…’%>我不会.net所以完全不知道他这个代码是什么意思但是经过测试这个代码一点用处都没有!可以任意文件上传,../../任意跨目录!上传可以本地构造test.html。

我个人的理解就是PageAdmin Cms v2.0用到的FCKeditor存在任意文件上传漏洞,苛且可以自定义上传文件的目录。

二、漏洞利用

为了测试漏洞,我下载了存在漏洞的PageAdminCms V2.0的源代码,在虚拟机里的Windows系统中把PageAdmin Cms V2.O安装了起来。网站在虚拟机里的访问地址。

下面来看漏洞利用方法。PageAdmin Cms V2.0中FCKeditor默认在管理目录master下,虚拟机中connector.aspx的URL。

1、利用test.html上传获得shell

由于FCKeditor存在任意文件上传漏洞,所以可以通过test.html直接上传shell,但程序中的test.html被删除了。删除了不要紧,我从别的没被删除test.html的FCKeditor中复制了一个test.html出来,稍微修改下就可以利用。用记事本打开test.html,搜索connector. aspx,找到后补齐connector.aspx的完整URl。保存对test.html的修改,然后用浏览器打开test.html,会有安全提示,选择“允许阻止的内容”。

“Connector:”选择ASP.Net, “Current Folder”和“Resource Type”都保持默认,通过“浏览”按钮选择要上传的shell,这里我选择了ASPXspy2,点“Upload”后下面显示空白页,好像上传成功了,点“Get Folders and Files”,看到了文件上传上去的名字,在/upload/FCKeditor/File/目录下,访问却提示“无法找到资源”,打开upload\fckeditor目录下,根本没有File子目录,而是有一个目录,也就是当前的年加月份,中间用一连接,打开文件夹,里面有一个文件夹File,打开File文件夹一个.aspx文件躺在那里了。原来shell的地址中FCKeditor和File之间要加一个当前年月的文件夹,访问URL之后找到.aspx文件,就获得了shell。

2、利用EXP获得shell

黑小子给出了一个用PHP写的漏洞利用EXP,可以直接获得shell。EXP的代码就不贴出来了,有想要的朋友们可以来联系我。

把代码保存为文件pacmsexp.php,放到了虚拟机系统中的C盘根目录下。由于EXP是用PHP写的,需要你安装PHP后才能使用,危险漫步的虚拟机的Windoes 系统中已经安装了PHP v5.3。打开命令提示符,切换到C盘根目录下。输入php pacmsexpplip回车后就可以看到EXP的用法了(PHP的安装目录已经被我加进了环境变量path中,所以不用输入php.exe所在的路径)。

EXP的利用格式为:

php pacmsexp.php site path

其中site就是存在漏洞的网站的域名或IP地址,path是PageAdmin Cms V2.0所在的目录。输入php pacmsexp.php 127.0.0.1,回车,会看到一个光标在闪,提示“Exploit Success”,并且已经给出了shell的地址是aspx-'句话木马,密码为90sec.org,用工具连接也获得了shell。

PageAdmin Cms v2.0 getshell Oday以及利用漏洞两种拿shell的方法介绍完了。通过搜索“PoweredbyPageAdlnin V2.0”等能找到可能存在这个漏洞的网站。

PageAdmin Cms V2.0 getshell 0day的更多相关文章

  1. 【原创】风讯DotNetCMS V1.0~V2.0 SQL注入漏洞

      文章作者:rebeyond 注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到乌云-漏洞报告平台.I.S.T.O版权所有,转载需注明作者. 受影响版本:貌似都受影响. 漏洞文件:use ...

  2. .NET PageAdmin CMS

    .NET PageAdmin CMS 完全破解步骤(非简单去版权) 其实当初我的目的是很纯洁的,只是想找一个简单的网站生成模板,由于对.net更熟悉一点,就去搜索了.net框架的CMS,看它的介绍挺强 ...

  3. PageAdmin CMS网站建设教程:如何实现信息的定时发布

    PageAdmin Cms发布文章时候有一个上线时间设置和下线时间设置,网站编辑人员可以利用这个功能来实现定时发布,在信息发布界面,如下图: 设置后就会自动加入定时任务中,注意这个功能需要再系统设置& ...

  4. GO 前后端分离开源后台管理系统 Gfast v2.0.4 版发布

    更新内容:1.适配插件商城,开发环境从后台直接安装插件功能:2.代码生成细节修复及功能完善(支持生成上传文件.图片及富文本编辑器功能):3.增加swagger接口文档生成:4.更新goframe版本至 ...

  5. [Android]Android端ORM框架——RapidORM(v2.0)

    以下内容为原创,欢迎转载,转载请注明 来自天天博客:http://www.cnblogs.com/tiantianbyconan/p/5626716.html [Android]Android端ORM ...

  6. JuCheap V2.0响应式后台管理系统模板正式发布beta版本

    JuCheap V1.* 查看地址: http://blog.csdn.net/allenwdj/article/details/49155339 经过半年的努力,JuCheap后台通用响应式管理后台 ...

  7. python gettitle v2.0

    #!/usr/bin/env python # coding=utf-8 import threading import requests import Queue import sys import ...

  8. ".NET Compact Framework v2.0 could not be found."

    参考: http://blog.csdn.net/godcyx/article/details/7348431 问题原因: That's a known issue where VS can't di ...

  9. 【JS】heatmap.js v1.0 到 v2.0,详细总结一下:)

    前段时间,项目要开发热力图插件,研究了heatmap.js,打算好好总结一下. 本文主要有以下几部分内容: 部分源码理解 如何迁移到v2.0 v2.0官方文档译文 关于heatmap.js介绍,请看这 ...

随机推荐

  1. 《我是一只IT小小鸟读后感》

    在我步入大学前,并未了解何为IT,真是毫无知晓.由于种种原因最终还是选择了软件工程专业,是 对是错,是福是祸,不知该不该去考虑,但即已然 选择了这条路,便得付出一些努力,这个世界总 是有许多在默默努力 ...

  2. [C++]数据结构-排序:插入排序之直接插入排序

    得赶紧休息了,木有时间写原理了.直接上代码. /* <插入排序-直接插入排序> */ #include<iostream> using namespace std; void ...

  3. Oracle 关键字、高级函数的使用

    1.序列.唯一标识 查询时,可以添加递增序列 rownum 表的数据每一行都有一个唯一的标识 rowid 2.函数 单行:查询多条数据 如:to_date() 多行:查询总结数据,一般用于group ...

  4. decltype类型指示符

    C++11新标准引入第二种类型说明符decltype,它的作用是选择并返回操作数的数据类型. 编译器分析表达式并得到它的类型,却不实际计算表达式的值: decltype(f()) sum = x;// ...

  5. 51nod 1016 水仙花数

    大水仙花数模板+1…… #include<stdio.h> #include<math.h> #include<queue> #include<vector& ...

  6. Emmet(以前的Zencoding)的使用

    Emmet就是以前的Zencoding div.wrapper#wrapper>div.right+div.left*2>span{nimei$}*3 //. 类名 #id >下面 ...

  7. bootstrap 解决弹出窗口(modal) 常见问题

    无法使用键盘esc关闭窗口方法: 首先在modal容器的div中增加属性tabindex="-1",其次设置键盘ESC属性keyboard为true: 方法1:使用js打开窗口时 ...

  8. MySql+EF <二>

    C#使用Mysql+EF架构项目有一系列问题. 一.EF没有Mysql的驱动,这个需要自己安装2个插件 ①mysql-connector-net-6.9.10.msi ②mysql-for-visua ...

  9. logrotate命令

    logrotate是个十分有用的工具,它可以自动对日志进行截断(或轮循).压缩以及删除旧的日志文件,例如,你可以设置logrotate,让/var/log/foo日志文件每30天轮循,并删除超过6个月 ...

  10. 在vue里添加好看的lottie动画 (^_^)

    为什么用lottie ★~★ 1.能让你的程序不那么单调 2.能让一些有审美强迫症的同学好受一点 3.网上有丰富的资源 点我进入lottie资源网站 引入lottie库 (>.<) 在vu ...