.NET仓库管理系统(WMS_APP)服务端代码审计教学文档<\/h1>

1. .NET程序审计关键文件类型<\/h2>

在进行.NET程序审计时，需要重点关注以下文件类型：<\/p>

.dll文件<\/strong>：动态链接库文件，包含程序运行时需要的函数和数据，可通过ILSpy等工具反编译为.cs源代码文件进行审计<\/li>
.cs文件<\/strong>：包含C#代码，定义网页或Web应用程序的逻辑和功能<\/li>
.ashx文件<\/strong>：ASP.NET中的HTTP处理程序文件，专注于处理HTTP请求和生成响应的逻辑<\/li>
.aspx文件<\/strong>：定义Web页面结构和布局的文件<\/li>

配置文件和其他静态资源文件<\/strong><\/li> <\/ol>
2. 审计发现的安全漏洞<\/h2>
2.1 GET_GN.ashx和FUHESAOMA.ashx - 未授权访问漏洞<\/h3>
漏洞分析<\/h4>

请求处理流程<\/strong>：<\/p>

从HTTP请求头中获取名为"param"的值<\/li>
使用GetParamJson<\/code>方法处理该值（位于Utils.cs文件）<\/li>
方法逻辑：查找请求头中键为"param"的值，没有则返回空<\/li> <\/ul> <\/li>
数据处理<\/strong>：<\/p> 对获取的param值进行URL解码<\/li> 使用JsonConvert.DeserializeObject<dynamic><\/code>反序列化JSON数据<\/li> 从反序列化结果中获取"type"属性值<\/li> <\/ul> <\/li> 数据库操作<\/strong>：<\/p> 创建SqlRun.DBAccess<\/code>类实例<\/li> 调用RunProDataSet<\/code>方法执行SQL操作<\/li> 参数：APP_WMS_GETData<\/code>(预定义的SQL命令\/函数)和包含type值的数组<\/li> <\/ul> <\/li> 安全问题<\/strong>：<\/p> 无任何token验证机制<\/li> 任意用户可通过构造特定请求头执行有限的SQL查询<\/li> FUHESAOMA.ashx页面还可获取"var"参数值查询用户信息<\/li> <\/ul> <\/li> <\/ol> 漏洞验证<\/h4> 构造HTTP请求头：<\/p> param: {"type":"value"} <\/code><\/pre> 2.2 KeyValueJson.ashx - RCE漏洞<\/h3> 漏洞分析<\/h4> 请求处理流程<\/strong>：<\/p> 同样从请求头param获取值<\/li> 使用ParamsHelper.ReturnParams<\/code>方法处理(位于ParamsHelper.cs)<\/li> <\/ul> <\/li> ParamsHelper.ReturnParams方法<\/strong>：<\/p> 输入：json字符串<\/li> 输出：procName(存储过程名称)<\/li> 处理逻辑：查找json中名为"proc"的参数<\/li> 为其他参数名称前添加"@"符号<\/li> 返回参数数组<\/li> <\/ul> <\/li> <\/ul> <\/li> 数据库操作<\/strong>：<\/p> 调用RunProcedureDR<\/code>方法执行存储过程<\/li> 存储过程名称和参数完全可控<\/li> <\/ul> <\/li> RCE实现<\/strong>：<\/p> 利用SQL Server内置存储过程xp_cmdshell<\/code><\/li> 构造请求： param: {"proc":"xp_cmdshell", "command_string":"系统命令"} <\/code><\/pre> <\/li> 其他可利用的危险存储过程： sp_databases<\/code>：列出所有数据库<\/li> sp_helpdb<\/code>：报告数据库信息<\/li> sp_tables<\/code>：返回可查询对象列表<\/li> xp_dirtree<\/code>：查看目录结构<\/li> xp_enumdsn<\/code>：查看ODBC数据源<\/li> xp_getfiledetails<\/code>：获取文件属性<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 漏洞验证<\/h4> 构造HTTP请求头执行系统命令：<\/p> param: {"proc":"xp_cmdshell", "command_string":"whoami"} <\/code><\/pre> 3. 其他可利用的SQL Server存储过程<\/h2> 数据库信息收集<\/strong>：<\/p> sp_databases<\/code>：无参数可查询所有数据库<\/li> sp_helpdb<\/code>：报告指定或所有数据库信息<\/li> sp_renamedb<\/code>：更改数据库名称<\/li> <\/ul> <\/li> 表结构信息<\/strong>：<\/p> sp_tables<\/code>：返回可查询对象列表<\/li> sp_columns<\/code>：返回表列信息<\/li> sp_help<\/code>：查看表的所有信息<\/li> sp_helpconstraint<\/code>：查看表约束<\/li> sp_helpindex<\/code>：查看表索引<\/li> <\/ul> <\/li> 系统信息收集<\/strong>：<\/p> sp_stored_procedures<\/code>：列出所有存储过程<\/li> xp_availablemedia<\/code>：查看磁盘驱动器空间信息<\/li> xp_enumgroups<\/code>：查看系统组信息<\/li> xp_ntsec_enumdomains<\/code>：列出机器名和NT域名称<\/li> <\/ul> <\/li> 敏感操作<\/strong>：<\/p> sp_password<\/code>：添加或修改登录帐户密码<\/li> xp_sendmail<\/code>：发送邮件并可附加查询结果<\/li> xp_makecab<\/code>：压缩多个文件到目标档案<\/li> <\/ul> <\/li> <\/ol> 4. 审计总结与修复建议<\/h2> 发现的安全问题<\/h3> 未授权访问<\/strong>：<\/p> 关键接口无身份验证<\/li> 任意用户可执行数据库查询<\/li> <\/ul> <\/li> 存储过程注入<\/strong>：<\/p> 存储过程名称和参数完全可控<\/li> 可调用危险系统存储过程<\/li> <\/ul> <\/li> 权限控制缺失<\/strong>：<\/p> 数据库连接使用高权限账户<\/li> 未实现最小权限原则<\/li> <\/ul> <\/li> <\/ol> 修复建议<\/h3> 身份验证<\/strong>：<\/p> 为所有接口添加token验证机制<\/li> 实现基于角色的访问控制<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 限制可执行的存储过程白名单<\/li> 对参数进行严格类型和范围检查<\/li> <\/ul> <\/li> 数据库安全<\/strong>：<\/p> 使用最低权限账户连接数据库<\/li> 禁用危险存储过程如xp_cmdshell<\/code><\/li> 实现参数化查询<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 记录所有数据库操作<\/li> 监控异常查询模式<\/li> <\/ul> <\/li> 代码规范<\/strong>：<\/p> 避免从HTTP头获取关键参数<\/li> 分离数据访问层和业务逻辑层<\/li> <\/ul> <\/li> <\/ol>