从任意文件下载到代码审计RCE实战教学<\/h1>

前言<\/h2>
本教学文档详细记录了一次完整的渗透测试过程，从黑盒测试发现任意文件下载漏洞开始，通过代码审计最终实现远程代码执行(RCE)的完整流程。该案例针对.NET框架的Web应用，涉及Windows Server环境下的漏洞利用。<\/p>

第一阶段：目标发现与信息收集<\/h2>

目标发现<\/h3>

使用fofa等工具提取目标子域<\/li>
测试子域存活状态并进行去重筛查<\/li>

逐个访问筛选后的目标进行初步测试<\/li> <\/ol>

发现漏洞入口<\/h3>

在目标站点https:\/\/edocs.xxx.ccc<\/code>发现可疑接口：<\/p>


接口命名表明是文件下载功能<\/li>
构造测试POC：https:\/\/edocs.xxx.ccc\/Home\/DownloadXXXXXXt?filename=..\/..\/..\/..\/..\/..\/..\/..\/etc\/passwd<\/code><\/li>
虽然.NET报错未找到文件，但确认了环境为Windows Server + .NET组合<\/li>
<\/ul>
第二阶段：任意文件下载漏洞利用<\/h2>
尝试获取敏感文件<\/h3>
尝试下载Windows系统中的关键文件：<\/p>
C:\Windows\System32\config\SAM       # 本地用户密码哈希(NTLM)
C:\Windows\System32\config\SYSTEM    # SAM数据库的启动密钥
C:\Windows\System32\config\SECURITY  # 安全策略和缓存域登录信息
C:\Windows\System32\config\SOFTWARE  # 软件配置和安装信息
C:\Windows\System32\config\DEFAULT   # 默认用户配置文件
C:\lsass.dmp                         # LSASS进程内存转储(含明文密码)
C:\Windows\MEMORY.DMP                # 系统完整内存转储
C:\hiberfil.sys                      # 系统休眠文件
C:\pagefile.sys                      # 虚拟内存页面文件
<\/code><\/pre>
获取源码策略<\/h3>
由于无法直接获取敏感凭证文件，转向获取源码：<\/p>

猜测项目存放磁盘：C、D、E等<\/li>
爆破源码存放目录：wwwroot、Webapp、inetpub、App_[Name]等<\/li>
根据域名edocs<\/code>猜测源码目录名称<\/li>
尝试爆破bin目录下的dll名称<\/li>
<\/ol>
最终成功构造路径：D:\/webapp\/edocs_v2\/bin\/edocs.dll<\/code><\/p>
源码分析工具<\/h3>
使用ILSpy工具对下载的DLL进行反编译并导出源码<\/p>
拓展思路<\/strong>：通过第一个DLL中的依赖包引用，拼接bin目录下的其他DLL进行下载<\/p>
第三阶段：代码审计<\/h2>
项目结构分析<\/h3>


路由配置<\/strong>：经典MVC路由模式{controller}\/{action}\/{id}<\/code><\/p>

默认控制器："Home"<\/li>
默认动作："Index"<\/li>
id参数可选<\/li>
<\/ul>
<\/li>

鉴权机制<\/strong>：<\/p>

使用SsoAuthorize<\/code>属性控制接口访问权限<\/li>
设置了SsoAuthorize<\/code>的接口至少需要登录才能访问<\/li>
审计重点：

系统如何校验登录状态，凭据能否伪造<\/li>
寻找未设置SsoAuthorize<\/code>的高危接口<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
前台任意文件下载漏洞分析<\/h3>
发现未设置SsoAuthorize<\/code>的下载接口：<\/p>

传入filename<\/code>和title<\/code>参数<\/li>
关键代码：
string<\/span> filename = array; \/\/ 直接使用用户输入的filename<\/span>
<\/span><\/span>if<\/span> (filename.EndsWith(".zip"<\/span>)) {
<\/span><\/span>    \/\/ 设置zip的MIME类型<\/span>
<\/span><\/span>} else<\/span> {
<\/span><\/span>    \/\/ 设置其他MIME类型<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
漏洞点：未对filename<\/code>进行路径限制，导致目录遍历<\/li>
<\/ul>
后台文件上传与ZIP解压RCE<\/h3>
发现需登录且有create\/update权限的文件上传接口：<\/p>

接收文件数组和报告ID参数<\/li>
获取文件名和后缀<\/li>
检查文件存在且有内容<\/li>
创建上传目录(如不存在)<\/li>
仅接收zip和pdf文件<\/li>
<\/ol>
ZIP解压漏洞<\/strong>：<\/p>
if<\/span> (fileExtension == ".zip"<\/span>) {
<\/span><\/span>    ZipLibs.UnZip(tempFilePath, uploadPath);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>解压方法UnZip<\/code>实现：<\/p>

遍历zip中的条目<\/li>
跳过.ini文件<\/li>
创建对应文件并写入内容<\/li>
漏洞点<\/strong>：未校验文件名合法性，可解压文件到任意目录<\/li>
<\/ul>
利用链<\/strong>：<\/p>

上传恶意zip文件<\/li>
利用解压功能将文件写入可执行目录<\/li>
实现远程代码执行<\/li>
<\/ol>
第四阶段：其他发现<\/h2>

FTP硬编码配置等凭证泄露问题<\/li>
其他未设置SsoAuthorize<\/code>的高危接口<\/li>
<\/ul>
总结与防御建议<\/h2>
漏洞总结<\/h3>


任意文件下载<\/strong>：<\/p>

未限制文件路径<\/li>
未验证用户权限<\/li>
<\/ul>
<\/li>

ZIP解压RCE<\/strong>：<\/p>

未校验解压路径<\/li>
未限制解压文件类型<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h3>


对文件下载功能：<\/p>

限制可访问的文件目录<\/li>
实现严格的权限验证<\/li>
对用户输入进行规范化处理<\/li>
<\/ul>
<\/li>

对文件上传与解压功能：<\/p>

校验解压路径，限制在指定目录内<\/li>
检查解压文件类型<\/li>
实现内容校验机制<\/li>
使用安全的解压库<\/li>
<\/ul>
<\/li>

通用安全措施：<\/p>

最小权限原则<\/li>
输入验证与输出编码<\/li>
定期安全审计<\/li>
敏感信息加密存储<\/li>
<\/ul>
<\/li>
<\/ol>
工具与资源<\/h2>

信息收集<\/strong>：fofa、子域名爆破工具<\/li>
漏洞利用<\/strong>：目录遍历fuzz工具<\/li>
代码审计<\/strong>：ILSpy、dnSpy等.NET反编译工具<\/li>
漏洞验证<\/strong>：Burp Suite、Postman等HTTP工具<\/li>
<\/ul>
通过本案例，我们展示了从黑盒测试到白盒审计的完整渗透流程，强调了代码审计在发现复杂漏洞中的重要性，以及防御措施的实施要点。<\/p>

从任意文件下载到代码审计RCE实战教学<\/h1>

前言<\/h2> 本教学文档详细记录了一次完整的渗透测试过程，从黑盒测试发现任意文件下载漏洞开始，通过代码审计最终实现远程代码执行(RCE)的完整流程。该案例针对.NET框架的Web应用，涉及Windows Server环境下的漏洞利用。<\/p>

第一阶段：目标发现与信息收集<\/h2>

第二阶段：任意文件下载漏洞利用<\/h2>

总结与防御建议<\/h2>

前言<\/h2>
本教学文档详细记录了一次完整的渗透测试过程，从黑盒测试发现任意文件下载漏洞开始，通过代码审计最终实现远程代码执行(RCE)的完整流程。该案例针对.NET框架的Web应用，涉及Windows Server环境下的漏洞利用。<\/p>