记一次难忘的net直播审计

声明：由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知，我们会立即删除并致歉。谢谢！

前言

去年7月的时候，有学员问深情哥asp怎么审计，刚好他有源码，于是带着审计一下看看。至于为什么是难忘的审计，大家看文章后面就知道了

准备过程

然后带着几个学员一起直播看了看这个源码。

net的源码得反编译，这是母庸质疑的，直接掏出大保健ILSpy.exe

直接用vscode打开我的反编译的源码

审计过程

根据黑盒和白盒经验，直接定位到控制器文件夹里面

通过查找登录接口查看是否为后端的Controller文件，本质就和我在给学员tp框架审计说的mvc的思路是一样的，很简单。

https://xaws.com/xaws/IndexPC 跟源码文件对的上

直接开审，先看有没有top10漏洞，比如sql,简简单单白盒审计一下。

第一个sql，拼接导致的注入，直接拿下

然后这个不是控制器文件，看是哪个方法调用了

/xaws/xawsgarten控制器调用了Date,然后Date里面的函数cardid的参数存在拼接导致的注入

继续找第二个sql，又是拼接，太简单又拿下一个sql

继续看看是哪个方法调用了这个xawssetList存在sql注入的函数

/xaws/xawsSet接口存在sql 参数是areaId

注入直播审计学员应该都会了，我们审点别的，看看上传。当时是在/xaws.cs里面找到的一堆注入，因为发现是这个接口是未授权，所以直接在这里面找有没有上传。

发现存在uplaod的方法

直接定位到上传，发现毛都没有过滤，这不是直接rce了。

直接提交到edu

太多漏洞直接让学员提交给edu了，发现重复了，挖槽，审半天发现全部白干

然后我继续看源码，再继续酷酷审上传，又找了一个

拼接访问，我尼玛，不是未授权。操，不审了，下机下次当案例给学员讲

不行，我不服气，深情哥就是要继续找，奶奶的。发现一个Service接口

这个比较特殊，你直接访问/D*Services是报错的，但是加个asmx就成功了，感觉这里审出来的人少，于是看看有没有sql

/D*Services.asmx里面的GetNoxaws函数存在一个sql 记得改成SOAP 1.2 请求

数据包构造一下就可以了，SOAP 1.2 请求记得带有GetNoxaws函数，这样子才能访问成功。

但是我发现复现的时候，有的网站有，有的网站，bbq了，肯定被人交过了咯。

后台很多上传，都没有过滤，没办法只能到此一游咯

今天想了一下，发现之前没有去看任意文件下载，今天一看全是下载

都没有过滤，之前忘记审了，就当一次教训吧，都测试了全部修复了，tmd下机，留着下次给学员讲。

总结

上次写的记一次带学员渗透母校的文章，可能因为是越权漏洞，大家觉得狠简单都会，但是我发现有的学员一看就会，一挖就废。可能是因为都是上帝视觉看待这个文章的，精髓应该都再直播的时候，我们是怎么去快速发现越权的。就好比我跟学员一起去看，他的母校，他一个越权没找到，相反我们只花了40分钟就找到个全校身份证泄露，这到底是为什么了？。

往期文章

一姐和深情哥帮学员又日了一下学员母校，太累了，以后还是多解答实战问题，周末会议帮忙看。

偶尔写一下白盒审计，不然技能颓废了，后续五一再出net审计课程，不能再拖了。感兴趣的可以公众号回答回复"深情哥"进群，有公开课会在群里面通知，包括审计和src。edu邀请码获取也可以联系深情哥。

内部edu+src培训，包括src挖掘，edu挖掘，小程序逆向，js逆向，app渗透，导师是挖洞过30w的奥特曼，edu上千分的带头大哥！！！联系深情哥即可。