实战渗透：从敏感文件泄露到Getshell - 详细教学文档<\/h1>

1. 目标系统信息收集<\/h2>

目标类型<\/strong>：大型仪器预约平台<\/li>

技术栈<\/strong>：

中间件：IIS<\/li>
开发语言：.NET (MVC架构)<\/li> <\/ul> <\/li>
特点<\/strong>：.NET平台不区分大小写，有利于字典生成和攻击尝试<\/li> <\/ul>
2. 初始攻击路径<\/h2>
2.1 备份文件发现<\/h3>

使用FOFA搜索相同系统的站点<\/li>
使用御剑等扫描工具扫描备份文件

常见备份文件名：web.rar<\/code>、备份.rar<\/code>、.bak<\/code>等<\/li> <\/ul> <\/li>
在某站点发现bak.rar<\/code>备份文件<\/li>
下载并解压后发现包含.NET平台的DLL文件（即网站源代码）<\/li> <\/ol> 2.2 代码审计准备<\/h3> 使用.NET反编译工具（如dnSpy、ILSpy等）逆向DLL文件<\/li> 重点关注MVC架构中的Controller（控制器）类<\/li> <\/ol> 3. 漏洞挖掘过程<\/h2> 3.1 文件上传漏洞审计<\/h3> 搜索Controller<\/code>类，寻找文件上传功能<\/li> 发现两处潜在上传点： UserController.IniUserPhotoUpload<\/code>方法<\/li> LabController.UploadLabOrg<\/code>方法<\/li> <\/ul> <\/li> <\/ol> 3.1.1 第一处上传点分析<\/h4> 路径：UserController.IniUserPhotoUpload<\/code><\/li> 文件校验通过MakeThumbnailByImg<\/code>方法实现<\/li> 限制文件扩展名为：jpg, jpeg, bmp, gif, png, ico<\/li> 结论<\/strong>：有严格白名单校验，无法利用<\/li> <\/ul> 3.1.2 第二处上传点分析<\/h4> 路径：LabController.UploadLabOrg<\/code><\/li> 关键代码分析： if<\/span> (base<\/span>.Request.Files.Count > 0<\/span>) { <\/span><\/span> fileSizeStr = FileUtility.GetFileSizeStr((double<\/span>)base<\/span>.Request.Files[0<\/span>].ContentLength); <\/span><\/span> string<\/span> fileNameWithExtensionByPath = FileUtility.GetFileNameWithExtensionByPath(base<\/span>.Request.Files[0<\/span>].FileName); <\/span><\/span> fileExt = FileUtility.GetFileExtByPath(base<\/span>.Request.Files[0<\/span>].FileName); <\/span><\/span> if<\/span> (!this<\/span>.ValidateLabOrganizationLogoUpload(System.Web.HttpContext.Current.Request, fileExt, fileSizeStr, out<\/span> errorMessage)) { <\/span><\/span> result = false<\/span>; <\/span><\/span> } else<\/span> { <\/span><\/span> this<\/span>.IniLabOrganizationLogoUpload(System.Web.HttpContext.Current.Request, fileId, fileExt, fileSizeStr, out<\/span> saveImgPath, out<\/span> errorMessage); <\/span><\/span> result = true<\/span>; <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> ValidateLabOrganizationLogoUpload<\/code>方法仅检查：文件大小限制<\/li> 基本扩展名检查（无严格白名单）<\/li> 移除特殊字符操作<\/li> <\/ul> <\/li> 关键漏洞<\/strong>：缺乏严格的文件类型白名单校验<\/li> <\/ul> 4. 漏洞利用过程<\/h2> 4.1 构造POC<\/h3> 确定上传路由地址：\/Lab\/UploadLabOrg<\/code> (MVC路由格式：\/控制器名\/方法名)<\/li> 构造HTML上传表单： <form<\/span> action<\/span>=<\/span>"\/Lab\/UploadLabOrg"<\/span> method<\/span>=<\/span>"post"<\/span> enctype<\/span>=<\/span>"multipart\/form-data"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"file"<\/span> name<\/span>=<\/span>"Filedata"<\/span>\/> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"submit"<\/span> value<\/span>=<\/span>"提交"<\/span>\/> <\/span><\/span><\/form<\/span>> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4.2 绕过防护措施<\/h3> 初始上传失败原因分析：需要登录认证<\/li> 需要验证Referer头<\/li> <\/ul> <\/li> 解决方案：注册普通用户账户<\/li> 在请求中添加Referer头（与目标站点相同域）<\/li> <\/ul> <\/li> <\/ol> 4.3 最终利用<\/h3> 使用Burp Suite或修改HTML表单添加Referer头<\/li> 上传webshell文件（如aspx、ashx等.NET支持的脚本文件）<\/li> 访问上传的webshell获取系统权限<\/li> <\/ol> 5. 防御建议<\/h2> 5.1 针对文件上传漏洞<\/h3> 实施严格的文件类型白名单校验<\/li> 检查文件内容而不仅是扩展名<\/li> 上传文件重命名（避免直接使用用户提供的文件名）<\/li> 限制上传目录的执行权限<\/li> <\/ol> 5.2 针对信息泄露<\/h3> 避免将备份文件存放在Web可访问目录<\/li> 使用规范的版本控制系统而非直接备份源代码<\/li> 实施适当的文件权限控制<\/li> <\/ol> 5.3 其他防护措施<\/h3> 对所有敏感操作实施身份验证<\/li> 对关键操作实施CSRF防护（但不应仅依赖Referer检查）<\/li> 定期进行代码审计和安全测试<\/li> <\/ol> 6. 总结<\/h2> 本案例展示了从信息收集到最终getshell的完整渗透流程，关键点在于：<\/p> 通过备份文件泄露获取源代码<\/li> 通过代码审计发现未严格校验的文件上传点<\/li> 绕过简单的防护措施（Referer检查）<\/li> 最终实现webshell上传<\/li> <\/ol> 这种攻击方式在缺乏严格安全开发的.NET MVC应用中较为常见，开发人员应特别注意文件上传功能的实现安全性。<\/p>