网络教学平台安全审计教学文档

0x00 前言

本文档基于某网络教学平台的渗透测试过程，重点分析该平台存在的多个安全漏洞，包括文件上传漏洞、文件下载漏洞和SQL注入漏洞。通过本案例学习.NET代码审计的基本方法和常见漏洞模式。

0x01 审计环境与方法

1. 审计工具：使用dnSpy工具直接查看bin目录下的二进制文件
2. 架构分析：系统采用MVC设计架构，重点关注Controllers中的方法
3. 继承特性：注意.NET中继承会默认继承对方的Filter，这会影响权限控制

0x10 任意文件上传漏洞分析

漏洞1：教师权限文件上传

1. 漏洞位置：全局搜索upload发现的上传点
2. 漏洞条件：
   • 上传文件个数不能为0
   • 用户session不为空
   • 用户身份必须为教师
3. 漏洞细节：

   string extension = Path.GetExtension(httpPostedFileBase.FileName); // 直接获取用户提供的扩展名
   // 直接拼接导致任意文件上传
   

4. 权限验证：继承TeachingBaseController，实现了TeachingActionFiler进行权限校验

漏洞2：未授权文件上传

1. 漏洞位置：继承ApiController的上传点
2. 漏洞特点：
   • 未实现任何权限校验操作
   • 文件名由text + Guid.NewGuid().ToString() + 后缀名组成
   • 以json格式返回结果
3. 利用限制：由于使用GUID生成文件名，爆破难度大

漏洞3：直接路径返回上传

1. 漏洞特点：
   • 拼接后缀后直接返回完整路径
   • 无严格的文件类型检查

漏洞4：数据流写入上传

1. 漏洞特点：
   • 直接拼接路径
   • 通过数据流写入文件内容
   • 无内容安全检查

0x14 任意文件下载漏洞

1. 漏洞位置：文件下载功能点
2. 漏洞参数：
   • 用户可控参数：path和filename
3. 漏洞细节：

   // 直接判断path路径文件是否存在，存在即下载
   if (File.Exists(path)) {
       // 下载文件操作
   }
   

4. 风险：未做任何过滤，可导致目录遍历和敏感文件下载

0x15 SQL注入漏洞分析

注入点1

1. 注入参数：role和id
2. 漏洞细节：

   // 用户输入直接拼接SQL语句
   string sql = "SELECT * FROM table WHERE role = '" + role + "' AND id = " + id;
   

注入点2

1. 注入参数：radio
2. 漏洞特点：同样存在直接拼接SQL语句的问题

审计总结与建议

1. 文件上传漏洞防护：

   • 实施严格的文件类型白名单验证
   • 对上传文件内容进行检查
   • 随机化存储文件名
   • 设置适当的权限验证

2. 文件下载漏洞防护：

   • 验证文件路径是否在允许范围内
   • 实施文件下载权限控制
   • 避免直接使用用户提供的路径

3. SQL注入防护：

   • 使用参数化查询或ORM框架
   • 实施输入验证和过滤
   • 最小权限原则配置数据库账户

4. 权限控制改进：

   • 明确每个Controller的权限要求
   • 避免通过继承隐式获得权限
   • 实施统一的权限验证机制

通过本案例可以看出，该教学平台存在多处高危漏洞，主要原因是缺乏输入验证、直接拼接用户输入以及权限控制不严格。在开发类似系统时应特别注意这些安全问题。