第99篇:记一次红队攻防中.Net代码审计与防守方的对抗过程
2024-7-18 07:55:28 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

 Part1 前言 

大家好,我是ABC_123。最近在复习整理之前自己审过的一些代码,找到了几年前红队评估项目中审计的一个.Net代码的案例,我平时很少看.NET的代码,于是就拿出代码重新学习总结了一下,整个审计过程比较简单。

建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

 Part2 研究过程 

大致过程如下:目标网站的资产存在一个XXX系统,通过信息收集找到了该系统的供应商。对供应商官网的子域名进行了收集,其中一个子域名搭建的这套系统的测试站点。经过目录扫描,测试站点存在一个网站的备份文件可以直接下载,于是得到了该系统的源代码。

  • 反编译工具的使用

可选择的.NET反编译工具主要有四个:dnSpy(于2020年左右停止更新)、ILSpy、dotPeek(JetBrains发布)、dnSpyx(非官方更新版)。选择一个自己用的顺手的反编译工具对*.Web.dll文件进行反编译,并导出所有反编译后的代码。我也将反编译结果对比了一下,以下是dnSpyx的反编译结果:

以下是ILSpy的反编译结果:

以下是dotpeek的反编译结果:

  • 审计上传漏洞

将反编译的代码导入Rider64(IntelliJ IDEA公司出品的),使用IDE进行代码审计、搜索关键字更方便一些。全局搜索”上传”关键字,挨个查看有可能实现了上传功能的.Net类。

最终发现了如下代码,有可能存在上传漏洞,[HttpPost]提示该请求只支持POST请求形式:

构造上传数据包如下,最终通过; filename;;;; 的方式结合.cer扩展名绕过了WAF。

  • 禁止脚本执行问题解决

等到第二天起来的时候,访问webshell发现提示“HTTP 错误403.1 - Forbidden”,该目录不允许运行可执行文件,也就意味着webshell在当前目录无法执行。经过判断,猜测蓝队防守方做了加固,在webshell所在文件夹下放置了web.config文件,更改了默认配置,使脚本在当前目录下不能执行。

接下来想了解决办法,我们可以找一处任意文件删除漏洞,将web.config文件删掉,从而使web.config文件失去作用,使Webshell可以继续执行。搜索delete关键字挨个查看,找到了一处任意文件删除漏洞,关键代码是System.IO.File.Delete(path),[HttpPost]提示该请求只支持POST形式:

最终按照代码拼接成如下数据包,通过..\..\跳转,成功将web.config文件删掉:

终于webshell又可以正常执行了,后续我们在当前目录放置了一个可以允许脚本执行的web.config文件,防止蓝队防守发现,在内网也做了新的权限维持。

  • 任意文件读取漏洞

如果担心任意文件删除漏洞会影响业务,可以提前审计一个任意文件读取漏洞,查看一下web.config文件的内容,判断一下删除该文件是否会对业务产生影响,或者是提前与甲方沟通好。

 Part3 总结 

1.  任意文件删除漏洞的审计也是有价值的,在本次案例中得到了印证。

2.  如果担心删除文件会影响业务,可以审计一个文件读取漏洞,查看一下文件内容,具体评估一下风险。

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzMjI1NjI3Ng==&mid=2247486825&idx=1&sn=7f9096995eb4341d1ce6c21be3fa5a96&chksm=c25fc212f5284b04e7205b6c659a77fc474451905a92a37a0cdca2a1a1e282ccd92583dd8a1d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh