ViewState反序列化绕过防护提权

0x01 问题记录

问题一：

使用@Rcoil师傅的SharpViewStateKing利用工具连上了，但因当前权限或其他原因Web路径下没法上传Webshell，而且里边安装的有网站安全狗IIS版和服务器安全狗等多个安全防护软件，Command模块执行命令时会提示：[!] ExecCMD error：拒绝访问，如下图所示。

注意：如果这台机器上存在其他Web中间件（如：Nginx、Apache、Tomcat）时可以先通过FileManager文件管理功能找到Web路径上传一个Webshell，然后在哥斯拉等Webshell管理工具的命令终端或内存执行进行提权，或者也可以想办法上线CobaltStrike后再使用PostExpKit插件进行提权。

使用Load Assembly模块可以内存加载PrintNotifyPotato，但是执行我们自己上传的cmd.exe都不行，CS马更不用说了，提示：[!] Cannot create process Win32Error:193，如下图所示。

以上问题之前在《2.5 新版安全狗安全防护绕过》这篇文章中有记录过，我们只要在cmd /c传参处加上IIS网站安全狗的内置白名单文件即可绕过，只要csc.exe可正常执行说明是OK的，如下图所示。

"C:WindowsMicrosoft.NETFramework64v2.0.50727csc.exe"

问题二：

我们在测试中发现csc.exe虽然可以执行，也可以使用../跨目录方式执行whoami.exe，但是这里仍然无法直接执行CS马上线，不是提示Win32Error:2就是Win32Error:193...，如下图所示。

以上193报错可能还是被拦截的问题，因为我们在本地测试中确定在正常情况下是可以这样执行的，如果执行exp后停留在这个界面（无回显）说明已经执行成功了，进程结束后就会有回显，如下图所示。

注意：师傅在实战测试中发现使用PrintNotifyPotato执行CS马时会提示Win32Error:193，但是又可以执行他们团队师傅用Golang重写的一个PetitPotato，是个思路，可以试试，如下图所示。

0x02 BUG记录

0x03 利用思路