asmx文件上传getshell

最新推荐文章于 2023-08-09 16:46:55 发布
最新推荐文章于 2023-08-09 16:46:55 发布
阅读量400 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53884648/article/details/130950543
版权

一、背景

事情发生平凡的一天,收到CNVD报送的漏洞然后随即进行了漏洞验证,现将过程记录一下;全程肯定会打码的,涉及公司机密。

二、复现过程

2.1、查看了这个测试请求包,我们可以看到可以通过这个请求进行文件上传,将payload进行base64编码之后进行上传,文件名可以定义为asmx测试aspx解析不了。

2.2、我们构建哥斯拉马子;因为后台属于C#写的我们就弄个它的马子,之后进行加密上传

 上传成功;

2.3、访问并利用

 

 哥斯拉连接

 三、总结

总是感觉工作很难受,有新颖的问题就会记录一下,平时干的太杂了,甲方做安全不专项更多的是治理,就我们常说的安全生命周期,从做产品时就考虑产品的整体安全架构设计(权限控制、数据加密、传输加密、抗抵赖性、安全日志监控、账户管理等等)还要做安全设计评审;到开发阶段要严格写代码习惯,做代码静态扫描给开发提bug,再到产品上线欠进行应用程序安全扫描和人工渗透,解决完这些,还得日常进行安全运维解决客户提的安全问题,做好日常应急准备,还时不时对内部人员进行安全培训。就这些还是会有漏洞被发现,这让我想起一句话,世界上只有不努力的黑客,没有攻不破的系统(猜猜是谁说的)

添衣&吹風
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红帆ioffice ioassistance2.asmx sql注入
weixin_43567873的博客
03-10 48
红帆ioffice ioassistance2.asmx sql注入
探索基于.NET下实现一句话木马之asmx篇1
08-03
云影实验室探索基于.NET 下实现一句话木马之 asmx 篇Ivan@360 云影实验室2018 年 07 月 18 日云影实验室0x01 前言上篇介绍了一般处
文件上传漏洞总结2
wwwwyyyrre的博客
07-26 521
webshell是web入侵的脚本攻击工具。webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。
GetShell最快的方法,文件上传的那些套路
qq_42073753的博客
06-03 444
平时我们在做渗透测试的时候,除了挖掘一些常见的漏洞的时候,文件上传点一定是我们要着重注意的。很多站都会提供头像上传,附件上传的功能点,这些点都是我们可以利用的。通过这些点我们可以上传我们的webshell文件,进一步的获取服务器的权限,为我们更进一步打入内网做下基础。所以,文件上传的各种绕过姿势,大家一定要熟练掌握。 upload-labs 1-10pass-1 前端js校验pass-2 后端检测MIMEpass-3 黑名单 .php5后缀绕过pass-4 黑名单 .htaccess文件pass-5
如何防止网站被黑客攻击?黑客是怎样炼成的?
2302_77302329的博客
05-16 597
现在的黑客网站可谓是多如牛毛,不管在哪里只要你愿意学,都可以学到一招半式。看过别人的个性签名:卖菜的王大妈是黑客,烤红薯的李大爷也是黑客,对面成人用品店的老板,挖日,还是黑客-_-~!..黑客还真多啊!!!据不完全统计,每天都有至少成千上万的网站被入侵篡改。有次在某群里聊天,一个高中生为了找到一个邂逅的女生的资料,入侵当地的民政局的内网服务器查看信息。厉害吧。过程估计是相当的精彩。正所谓只要有电脑的地方,就会有江湖。被黑总是有理由的…… 网站如何防黑?我们从做站开始讲起。首先选好服务器这个是很重要的。因为即
VS2019新建WebService/Web服务/asmx并通过IIS实现发布和调用
BADAO_LIUMANG_QIZHI的博客
05-18 4627
对接第三方系统提供接口文档中显示为asmx接口访问接口返回数据格式为xml中的数据格式为json数据。需要在本地新建并模拟调试环境。
webshell免杀项目-ByPassGodzilla(一)
最新发布
siu~
08-09 486
哥斯拉WebShell免杀生成工具。
SilverLight中数据与通信之ASMX
马立弘
08-29 418
SilverLight中数据与通信之ASMX 1.       新建一个Web服务文件 BlogService.asmxpublic class BlogService : WebService    {        [WebMethod]        public Post[] GetPosts()        {            ListPost>
人生的抉择—aspx、ashx、asmx文件处理请求效率比较
sinolover的专栏
02-18 960
总结: ashx:只是实现IHttpHandler接口 aspx:public class Page : TemplateControl, IHttpHandler 而TemplateControl是: abstract class TemplateControl : Control, INamingContainer, IFilterResolutionService 所以aspx是重型类,所...
asmxLessSpy:asmx中国斩波器WebShell
04-28
探索基于.NET下实现一句话木马之asmx篇 Ivan@360云影实验室 2018年07月18日 0x01 前言 上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序 (asmx)下的工作原理和如何实现一句话木马,当然介绍之前笔者找到了一款asmx马儿 ,依旧是一个大马如下图 这个还只是对客户端的菜刀做了适配可用,暂时不符合一句话木马的特点哈,至于要打造一款居家旅行必备的菜刀马,还得从原理上搞清楚 asmx的运行过程。 0x02 简介和原理 Web Service是一个基于可编程的web的应用程序,用于开发分布式的互操作的应用程序,也是一种web服务,Web Service的主要目标是跨平台的可互操作性,为了实现这一目标Web Service 完全基于XML(可扩展标记语言)、XSD(XML Schema)等独立于平台、独立于软件供应
.net上传文件到web service方法
11-11
.net上传文件到web service方法
php实现通过soap调用.Net的WebService asmx文件
10-20
主要介绍了php实现通过soap调用.Net的WebService asmx文件,结合实例形式分析了php使用soap实现WebService接口的调用技巧,需要的朋友可以参考下
ajax跨域请求WebService.asmx
08-22
ajax跨域请求WebService.asmx,程序非常完美的跑起来了。辛苦了一下午整理出来的。怕的就是以后自己忘记了。
Android访问 web service asmx
10-26
免费下载!包括所需的jar文件,Activity文件和布局资源xml!
Java调用asmx(WebService)
12-12
java通过webservice调用asmx的实例。
web调用exe_WEB安全渗透测试基础知识(八)
weixin_39848097的博客
12-12 222
3.5. 命令注入3.5.1. 简介命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能,或者一些站点提供如ping、nslookup、提供发送邮件、转换图片等功能都可能出现该类漏洞。3.5.2. 常见危险函数3.5.2.1. PHPsystemexe...
探索基于.NET下实现一句话木马之asmx篇
weixin_33980459的博客
01-16 644
0x01 前言 上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序 (asmx)下的工作原理和如何实现一句话木马,当然介绍之前笔者找到了一款asmx马儿 https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx ,依旧是一个大马如下图 这...
五千字聊一聊接口测试
小朱的博客
09-19 1008
什么是接口,接口测试就是对接口进行测试。我们可以先看一个例子,比如说你通过浏览器查询天气,浏览器有一个搜索引擎,在搜索引擎里面写入某某地的的天气,然后他就会返回该地的天气状况。浏览器请求天气信息,向天气系统发送请求。天气系统知道你的请求之后,会把天气信息返回给你。
.asmx后缀是什么文件
05-10
.asmx 文件是一种 Web 服务文件,其包含了一个用于处理 Web 请求的 ASP.NET Web 服务的描述。它使用 SOAP 协议来进行通信,使用 XML 格式来传输数据。通常,这种文件用于在不同的应用程序之间共享数据和功能。当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值