.aspx 未授权访问

已于 2023-04-01 15:56:55 修改
阅读量572 收藏 1
点赞数 1
分类专栏: 代码审计 文章标签: java c# 开发语言
于 2023-04-01 15:54:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackguest07/article/details/129898313
版权

我的博客地址:http://www.ldsecurity.cn/

1. 未授权访问概念:

有些项目可能存在很多的页面,有些页面开发者在设计的过程中,可能会去判断用户是否登录,如果没有登录就无法访问。

2. 白盒审计未授权的关键点:

判断用户的身份可能会导致后台本身有多个功能文件页面

1、在每个文件里面添加判断代码

2、创建一个文件专门用来判断,其他文件包含调用它

找未授权访问

找那些文件没有包含验证代码文件

2、验证代码文件有没有可以绕过

3. 白盒找 .aspx 未授权点:

1. 首先我们看登录之后的地址:

首先我们进行登录:假设我们知道用户名和密码。

登录之后,我们发现我们的登录页面后,去访问相应的资源的地址是:

http://ip/purchase/pd.aspx(登录之后才能进行访问的地址)

2. idea 打开该项目进行审计:

我们将 pd.aspx 文件的第一行代码提取出来。关注最后一个关键字,之所以要关注

pd.aspx 这个文件是因为你登录之后就是跳转的 pd.aspx ,而这个文件可能就是用来判断当前用户是否处于登录状态。

lnherits 是继承的意思,可以理解为包含,很可能被包含的这个文件就是用来判断用户是否是登录状态。

Inherits="purchase.purchase.pd" %>

<%@ Page Title="" Language="C#" MasterPageFile="~/purchase/purchase.Master" ClientIDMode="Static"  AutoEventWireup="true" CodeBehind="pd.aspx.cs" Inherits="purchase.purchase.pd" %>

接下来我们就是需要找是否存在一个 dll 文件叫做 purchase。

1. dll 文件的解释:

在 java 开发中,项目最后都会进行打包,这个包的后缀名是 .jar 结尾,里面封装了核心的代码。通过 .jar 包即可运行 java 项目。而在这个 c# 项目中,.dll 后缀结尾的文件和 .jar 是类似的,里面都是封装了一些核心的代码,只不过这个核心代码是 c# 。

2. purchase.dll 文件:

可以发现,dll 文件内容是二进制形式的。既然是二进制,那么我们就可以去进行反编译了。

3. 反编译 .dll 文件:

1. 在 purchase.dll 中查找 purchase.purchase.pd 文件:

我们根据上面提到的 purchase.purchase.pd 文件,进行相应的查找,注意区分大小写。

purchase.purchase.pd 文件代码:

我们发现,这个代码似乎并没有啥问题,就算你看不懂,也没关系,因为你只需要知道它是不是在进行是否登录成功的验证即可,而下面这个,很显然不是在进行验证。

// purchase.purchase.pd
using System;
using System.Web.UI;
using System.Web.UI.WebControls;

public class pd : Page
{
	protected DropDownList pdtypes;

	protected TextBox pdusername;

	protected TextBox pddate;

	protected TextBox note;

	protected void Page_Load(object sender, EventArgs e)
	{
		if (!Page.IsPostBack)
		{
			pddate.Text = DateTime.Now.ToString("yyyy-MM-dd");
		}
	}
}

那么我们可能是找错 dll 文件了,我们回到最初的 .aspx 文件。

<%@ Page Title="" Language="C#" MasterPageFile="~/purchase/purchase.Master" ClientIDMode="Static"  AutoEventWireup="true" CodeBehind="pd.aspx.cs" Inherits="purchase.purchase.pd" %>

我们再来查找是否存在这个文件:/purchase/purchase.Master

查找到是存在这个文件的:

purchase.Master 文件的第一行代码:

<%@ Master Language="C#" AutoEventWireup="true" CodeBehind="purchase.Master.cs" Inherits="Purchase.Purchase.pur" %>

那么接下来 Purchase.Purchase.pur 就是我们应该考虑要去查找的文件。

2. 在 purchase.dll 文件中查找 Purchase.Purchase.pur 文件:

这里之所以是在 purchase.dll 文件里面进行查找,是因为从名字的前缀就可以知道,该 dll 文件里面对 purchase 目录进行了核心代码的封装。

4. 找到未授权访问点:

Purchase.Purchase.pur 文件代码如下所示:



// Purchase.Purchase.pur
using System;
using System.Web;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;

public class pur : MasterPage
{
	public string apppath = HttpContext.Current.Request.ApplicationPath;

	protected HtmlHead Head1;

	protected ContentPlaceHolder head;

	protected Literal lt_username;

	protected Literal lb_username;

	protected PlaceHolder ht;

	protected PlaceHolder ph1;

	protected HtmlForm fm;

	protected ScriptManager ScriptManager1;

	protected ContentPlaceHolder ContentPlaceHolder1;

	protected void Page_Load(object sender, EventArgs e)
	{
		if (!Page.IsPostBack)
		{
			HtmlHead header = Page.Header;
			HtmlMeta htmlMeta = new HtmlMeta();
			htmlMeta.HttpEquiv = "官方说明";
			htmlMeta.Content = "本程序由启明星工作室开发,详见官网  http://www.dotnetcms.org  联系QQ 983506039   ";
			header.Controls.AddAt(0, htmlMeta);
			Head1.Title = "启明星采购系统-" + Head1.Title;
			if (DateTime.Now > DateTime.Parse("2017-1-1"))
			{
				Helper.Result((Page)(object)Page, "已经到期啦,请到http://www.dotnetcms.org 下载新版 ");
			}
			if (UserHelper.GetUserId <= 0)
			{
				base.Response.Redirect("../login.aspx");
				return;
			}
			string text2 = (lb_username.Text = (lt_username.Text = UserHelper.GetUserName));
			ph1.Visible = true;
			ht.Visible = true;
		}
	}

	public string GetCss(string url)
	{
		url = apppath + "/purchase/" + url;
		if (base.Request.CurrentExecutionFilePath.StartsWith(url, StringComparison.OrdinalIgnoreCase))
		{
			return "active1";
		}
		return "";
	}
}

我们找到上面的核心代码,我们只需要知道一个点就是,当你进行登录的时候,你会携带一个 UserId 的参数,默认应该是 >0 的,那么如果你能够将这个参数修改为 <= 0的话,那么我们是不是可以进行相应的一些绕过了,然后去访问 login.aspx

			if (UserHelper.GetUserId <= 0)
			{
				base.Response.Redirect("../login.aspx");
				return;
			}

那么找到漏洞点之后,接下来我们进行的就是漏洞利用了。

4. 未授权利用:

1. 查看 UserHelper.GetUserId 方法:

GetUserId 方法代码:

// UserHelper
using System.Web;

public static int GetUserId
{
	get
	{
		if (Helper.IsUseAd && HttpContext.Current.Request.Cookies["userinfo"] == null)
		{
			UsersHelper.LoginAd(GetSamaccountName());
		}
		if (HttpContext.Current.Request.Cookies["userinfo"] != null)
		{
			return int.Parse(HttpContext.Current.Request.Cookies["userinfo"]["userid"]);
		}
		return -1;
	}
}

核心代码:如果不为空,则会将 userid 转换为 int 类型。

		if (HttpContext.Current.Request.Cookies["userinfo"] != null)
		{
			return int.Parse(HttpContext.Current.Request.Cookies["userinfo"]["userid"]);
		}

我们添加一个参数:

cookie:userinfo=userid=1;即可实现登录的绕过。

ldsecurity
关注
专栏目录
【漏洞复现】金和OA C6 SAP_B1Config.aspx 授权访问漏洞
alert['Hello World']
09-27 41
金和OA C6 SAP_B1Config.aspx 授权访问漏洞,攻击者可直接访问授权页面,获取数据库连接信息等。
【1day】金和OA某接口存在授权访问漏洞
记录并分享学习安全的知识点..
12-07 824
软件,旨在提供高效的办公流程管理和协作解决方案。它提供了一系列功能和工具,帮助企业实现办公自动化、信息共享和团队协作。金和OA存在授权访问漏洞,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。金和OA是一款企业级。
记一次iis+aspx环境下利用http参数污染绕过waf
zhangge3663的博客
07-27 1285
环境介绍 Server: Microsoft-IIS/10.0 X-AspNet-Version: 4.0. waf: 某不知名waf 漏洞点情况 新建模板处,可以直接写入内容到文件: 但是一写入正常的aspx语句就被拦截,连简单的输出语句都不行: bypass过程 一开始也试过诸多绕过方法,包括各种常见编码、chunked编码等等,都不太行。 然后尝试了一下,看有没有http参数污染(两个code参数): 访问下生成的aspx文件: 可以看到确实是可以的,但是中间
WEB攻防【2】——ASPX/.NET项目/DLL反编译/授权访问/配置调试报错
最新发布
weixin_42090431的博客
05-24 428
IIS上的安全问题也会影响到WEB漏洞:本身源码上的问题服务漏洞:1、中间件 2、数据库 3、第三方软件。
同一Session中的aspx页面的并发限制
dengqi4009的博客
11-30 262
  项目中客户端采用WebBrowser展示aspx页面,用户有可能打开带多个带WebBrowser的winform窗体。此时,如果其中一个的WebBrowser的aspx页面响应较长的话,其他窗体中的WebBrowser页面会出现等待现象。      经研究后发现,如果是同一Session会出现上述情况,但不过不是同一Session的则不会出现。默认asp.net中,如果没有使用到...
网安之web攻防第十九天
B_l_a_nk的博客
03-30 228
1、.NET配置调试-信息泄露 2、.NET源码反编译-DLL反编译 3、.NET常见安全问题-授权访问
服务限流,我有6种实现方式…
m0_73311735的博客
05-11 464
总的来说,要保证系统的抗压能力,限流是一个必不可少的环节,虽然可能会造成某些用户的请求被丢弃,但相比于突发流量造成的系统宕机来说,这些损失一般都在可以接受的范围之内。前面也说过,限流可以结合熔断、降级一起使用,多管齐下,保证服务的可用性与健壮性。那么,这次的分享就到这里。
aspx自助链接系统(.net).rar_.aspx_.aspx链接_.net_aspx
09-23
5. 安全性:系统需要有适当的验证和授权机制,防止恶意用户滥用服务。 标签中的“.aspx链接”指的是使用ASP.NET技术生成的网页链接,这种链接在服务器端被处理后返回给客户端。而“.net”则指的是.NET Framework,...
成绩查询系统.rar_dz/ScoreQuery.aspx_成绩_成绩查询_成绩查询系统
07-14
2. **用户认证与权限管理**:为了保护学生的隐私,系统必须实施用户登录机制,确保只有授权的用户才能访问特定的成绩。这可能涉及用户名、密码验证,以及角色和权限的设定,如教师可以查看所有学生的成绩,而学生...
ASPXspy2.aspx
08-23
7. **缓存管理**:测试是否有授权的缓存数据暴露,这可能导致敏感信息泄露。 8. **权限分配**:验证角色和用户的权限是否被正确分配,防止权限提升攻击。 9. **代码审查**:检查ASPX和后台代码(如C#或VB.NET)...
ASP 域名授权访问代码
04-20
ASP域名授权访问代码 可以限制域名访问的。。。。
ASP.NET权限管理
qq_42370421的博客
09-08 664
1、权限管理流程 (1)登录授权:服务端获取用户名和密码,对用户名和密码进行验证,把用户信息写入到seeion,在返回数据的时候,把sessionid返回到客户端,写入到cookie中 id (2)再次登录的时候,客户端会自动携带sessionid,服务端就要找这个sessionid是否存在,如果找到了,就表示登录过,就验证通过,否则就跳转到登录也 ...
上传验证绕过——服务端黑名单绕过
Williamanddog的博客
01-28 939
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。由于.htaccess还是没有过滤,可以重写文件解析规则绕过,上传一个 .htaccess,文件内容如下,意思。Upload-labs(Pass-03)根据源码可以看出,只是做了个简单的后缀名黑名单,识别上传文件的类型是。否为 '.asp','.aspx','.php','.jsp' 中的一个,若是其中的一个,则不允许上传。这一关的思路是它没有循环验证,也就是说这些首尾去空,删除末尾的点,去除字符串:$SDATA,转换。
ASP.NET 身份验证、会话状态
u013400314的博客
09-26 984
持久性 Cookie 不超时。在认证阶段,ASP.NET会检查当前请求,根据web.config设置的认证方式,尝试构造HttpContext.User对象供我们在后续的处理中使用。在授权阶段,会检查当前请求所访问的资源是否允许访问,因为有些受保护的页面资源可能要求特定的用户或者用户组才能访问。mode="SqlServer" 存储在sql server中特点:工作负载会变大,但信息不会丢失 stateConnectionString :指定asp.net应用程序存储远程会话状态的服务器名,默认为本机。
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
“网站发布时Login.aspx遇到问题”的解决方案
张亚京
03-23 1564
网站发布的时候遇到一个编译器错误信息: CS0030: 无法将类型“ASP.login_aspx”转换为 “System.Web.UI.WebControls.Login” 的错误,搜索一下发现解决方法. 在2.0中做用户登陆界面Login.aspx时出现了这个错误。无法将类型"ASP.login_aspx" 转换为"System.Web.UI.WebControls.Login"郁闷
ASP.NET(aspxspy)防提权设置
weixin_33860737的博客
02-25 162
防止读取注册表、运行命令、查看服务、查看进程: 打开:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\web.config找到<trust level=”Full” originUrl=”" /> 改为 <trust level=”High” originUrl=”" />然后打开C:\WINDOWS\Micros...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ldsecurity

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值