一句话木马

一句话木马
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
探索基于.NET下实现一句话木马之Asmx篇 360云影实验室专栏作者2018-07-25共115529人围观 ，发现 2 个不明物体 WEB安全
0×01 前言
上篇介绍了一般处理程序（ashx）的工作原理以及实现一句话木马的过程，今天接着介绍Web Service程序（asmx）下的工作原理和如何实现一句话木马，当然介绍之前笔者找到了一款asmx马儿 https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx ，依旧是一个大马如下图：

这个还只是对客户端的菜刀做了适配可用，暂时不符合一句话木马的特点哈，至于要打造一款居家旅行必备的菜刀马，还得从原理上搞清楚 asmx的运行过程。

0×02 简介和原理
Web Service是一个基于可编程的web的应用程序，用于开发分布式的互操作的应用程序，也是一种web服务，Web Service的主要目标是跨平台的可互操作性，为了实现这一目标Web Service 完全基于XML（可扩展标记语言）、XSD（XML Schema）等独立于平台、独立于软件供应商的标准，是创建可互操作的、分布式应用程序的新平台。简单的来说Web Service具备三个要素SOAP（Simple Object Access Protocol）、WSDL(WebServicesDescriptionLanguage)、UDDI(UniversalDescriptionDiscovery andIntegration)之一， SOAP用来描述传递信息的格式， WSDL 用来描述如何访问具体的接口， UDDI用来管理，分发查询webService ，也因此使用Web Service有许多优点，例如可以跨平台工作、部署升级维护起来简单方便、实现多数据多个服务的聚合使用等等。再结合下图说明一下WebService工作的流程

无论使用什么工具、语言编写WebService，都可以使用 SOAP 协议通过 HTTP调用，创建 WebService 后，任何语言、平台的客户都可以阅读 WSDL 文档来调用 WebService ，同时客户端也可以根据 WSDL 描述文档生成一个 SOAP 请求信息并发送到Web服务器，Web服务器再将请求转发给WebService 请求处理器。

对于.Net而言，WebService请求处理器则是一个 .NET Framework 自带的 ISAPI Extension。Web请求处理器用于解析收到的SOAP请求，调用 WebService，然后生成相应的SOAP应答。Web服务器得到SOAP应答后，在通过HTTP应答的方式将其返回给客户端，但WebService也支持HTTP POST请求，仅需要在服务端增加一项配置即可。

0×03 一句话的实现
3.1、WebMethod
在Web Service程序中，如果一个公共方法想被外界访问调用的话，就需要加上WebMethod，加上[WebMethod]属性的公有方法就可以被访问，而没有加这个属性的方法就是不能被访问的。将 WebMethod 属性 (Attribute) 附加到 Public 方法表示希望将该方法公开为 XML Web services 的一部分，它具备6个属性：Description 、EnableSession、MessageName、TransactionOption、CacheDuration、BufferResponse，为了更清晰的表述WebService请看下面这段代码

客户端预览后

这里声明成一个字符串类型的公共方法HelloWorld，如果此时在方法体内实现创建aspx文件，保存内容为一句话小马的话那么这个WebService就变成了服务后门，依照这个推理就产生了C#版本的WebService小马，实现了两个功能，一个是创建文件，还有一个是执行CMD命令，核心代码如下：

小马运行后执行whoami命令之后以默认XML格式回显数据，如下图

知道原理后就开始着手打造菜刀可用的一句话木马，和一般处理程序类似通过Jscript.Net的eval方法去实现代码执行，前文有提到WebMethod存在多个属性且根据微软的官方文档 https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29 可以得出Jscript.Net中可以使用WebMethodAttribute 来替代[WebMethod]。

一句话实现的代码如下：

打开浏览器，测试效果如下

笔者依照SOAP1.1的规范要求，发送请求的数据包就可以实现一句话代码执行，这里还是拿当前的日期时间作为攻击载荷，如下图

3.2、ScriptMethod
在探索WebMethod的时候，发现VisualStudio有段注释如下图

当客户端请求的方式是AJAX的时候会导入System.Web.Script.Services.ScriptService命名空间，笔者尝试去挖掘一下可能存在的新的攻击点

代码里ResponseFormat表示方法要返回的类型，一般为Json或者XML; UseHttpGet等于true表示前台的ajax是通过GET可以访问此方法，如果前台ajax通过POST，则报错。

根据C#中的代码可知需要配置WebMethod和ScriptMethod才能正常玩转，而在Jscript.Net中实现这两个功能的分类是WebMethodAttribute类和ScriptMethodAttribute类，最终

写出一句话木马服务端代码：

客户端输入 Response.Write(DateTime.Now)成功打印出当前时间，表示一句话成功运行！

可惜的是这种方法不支持.NET 2.0究其原因是using System.Web.Script.Services;这个命名空间并不在System.Web中，而是在ajax扩展中需要额外安装ASP.NET 2.0 AJAX

Extensions，所以在2.0的环境下尽量避免使用该方法。

0X04 菜刀连接
菜刀不支持SOAP的方式提交payload，直接连接asmx文件就会出现下图错误

第一种解决方法可以自己写代码实现支持SOAP的客户端；

第二种办法参考asmx页面最下方给出的HTTP POST提交方式；

本地环境下用菜刀连接没问题，可以正常连接

但通常部署到服务器上可能会遇到下面的提示

解决上述的问题需要在web.config中配置webServices节点接收的Protoclos节点下需要包含HttpPost

多数情况下程序开发者会支持HTTP POST请求，所以对此不必过于担心。笔者基于优化考虑将asmxWebMethodSpy.asmx进一步压缩体积后只有499个字节，asmxScriptMethodSpy.asmx也只有547个字节。

0×05 防御措施
1. 通过菜刀连接的方式，添加可以检测菜刀关键特征的规则；

2. 对于Web应用来说，尽量保证代码的安全性；

3. 对于IDS规则层面来说，上传的时候可以加入WebMethodAttribute等关键词的检测

0×06 小结
1. 还有本文提供了两种方式实现asmx一句话的思路，当然还有更多编写一句话的技巧有待发掘，下次将介绍另外一种姿势，敬请期待；

2. 文章的代码片段请参考 https://github.com/Ivan1ee ；

0×07 参考链接
https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29

https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx

https://www.cnblogs.com/bpdwn/p/3479421.html

https://github.com/Ivan1ee

*本文作者：360云影实验室，转载请注明来自FreeBuf.COM

360云影实验室
360云影实验室
11 篇文章
等级： 4级
||
上一篇：Game-of-Thrones-CTF-1靶机完全攻略下一篇：天融信关于CVE-2018-2893 WebLogic反序列化漏洞分析
发表评论已有 2 条评论

神僧 2018-07-25回复 1楼
多谢分享

亮了(0)

啊啊 2018-07-25回复 2楼
6666666666

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360云影实验室
360云影实验室专栏作者

这家伙太懒，还未填写个人描述！

11
文章数
2
评论数
最近文章
深入分析MikroTik RouterOS CVE-2018-14847 & Get bash shell
2018.10.23

Foxit Reader多个UAF漏洞解析
2018.10.13

基于深度学习的恶意样本行为检测（含源码）
2018.09.03

浏览更多
相关阅读
利用.NET反序列化漏洞获取NTLM Hashes探索基于.NET下实现一句话木马之Asmx篇探索基于.NET下实现一句话木马之SVC篇
Captcha插件后门分析和修复技术分享 | 看我如何编写一个验证码识别程序
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank