護衛神主機大師提權漏洞利用分析

0×01 前言

護衛神·主機大師支持一鍵安裝網站運行環境（IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+偽靜態+PhpMyAdmin），並可在線開設主機、SQL Server和MySQL；Web方式管理，擁有獨立前台和後檯面板。支持Windows Server 2008/2012。結合護衛神14年安全防護經驗，嚴格限制每個站點獨立許可權，徹底阻擋跨站入侵。但這套系統真的像描述的那麼安全么？，由於某次安全測試遇到該系統，遂對該系統進行分析。本文記錄了分析過程中的一些記錄和問題。

0×02 代碼分析

先看看裝好後的軟體界面,可以看到一些常見的主機操作功能。其中網站管理引起了我的注意，點開瞅瞅

點開之後就直接進去了,WTF?

從邏輯流程來看這裡很明顯有問題，擼開代碼看看怎麼驗證的。虛擬主機管理系統運行在6588埠。且採用asp語言開發。程序路徑為x:HwsHostMasterhostweb下，且默認為system許可權運行。

/admin/index.asp

代碼乍一看好像沒啥問題，但是開發者疏忽了一個問題，第９行判斷來源ip是否為本地訪問，strIp變數來自Request.ServerVariables(「local_addr」) ，如果為本地訪問且strAuto=autologin則直接登入系統，無需賬號密碼驗證，這就出現一個問題了，開發者未考慮內部用戶是否合法，如果我獲取到一個低許可權的webshell、那就相當於獲取到一個本地身份了。那麼我就可以直接訪問到虛擬主機管理後台了。那麼就可以為所欲為了。

0×03 利用方法

本漏洞利用前提是已經獲取到虛擬主機上的一個webshell，其次在通過以下腳本獲取cookie即可進入虛擬主機管理後台。

將該腳本上傳至伺服器，訪問後即可獲取到管理員cookie。在本地修改cookie後即可進入到虛擬主機管理後台。繞過登錄限制。

0×04 GETSHELL

直接訪問需要登錄

通過腳本獲取cookie

修改cookie後直接訪問/admin/index.asp，進入後台

進入後台後點擊網站列表，隨便選擇一個網站，點擊解壓進入操作界面，通過FTP或其他方式上傳shell壓縮包，然後輸入文件名和解壓路徑，解壓路徑選擇護衛神管理系統路徑，一般為X:HwsHostMasterhostweb X為任意盤符。

在我這裡普通網站目錄和護衛神管理系統都在D盤下，所以採用相對路徑指向到虛擬主機管理系統web路徑即可

點擊解壓以後,shell就躺在管理系統目錄下了。並且為system許可權。成功獲取到高權身份

0×05 總結

該漏洞利用場景較為雞肋，前提要求已經獲取到該主機上的shell，才可採用該方法進行提權。開發者在開發過程中不要對內部不要過於信任，因為你也無法確保內部絕對的安全。

修復方案：

刪除第三行到第三十行之間的代碼即可。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！