记一次对母校的漏洞挖掘经历

1. 读取文件授权(Checker.p_GetLicense())
   • 读取Bin/Landray.lic文件
   • 获取CPU ID和MAC地址
   • 解密授权文件
   • 解析授权信息（10个字段）
   • 提取FullName
2. 读取数据库授权
   • 从Mekp_EISProductInfo表读取LicenseKey
   • 使用相同的密钥和IV解密
   • 解析授权信息（2个字段：过期时间;FullName）
3. 验证授权
   • 比较文件授权和数据库授权中的FullName是否一致
   • 如果是试用版，检查过期时间（逻辑：DateTime.Now < expiration→ 返回false）
   • 如果验证通过，将授权信息存储到Application对象中
4. 更新数据库授权（如果是试用版）
   • 将数据库授权更新为当前时间 + FullName

   采用加密算法：3DES (TripleDES)

• 文件授权lic：

读取文件并解密（密钥：CPU + "xxxxxxx20800"，IV：MAC地址） 解析10个字段，关键字段：array[3] = "DeptName|FullName存入lisenceInfo.FullName

• 时间校验：if (DateTime.Now < result) return false，如果当前时间 < 过期时间，返回false（验证失败）
• FullName匹配：lisenceInfo.FullName必须与数据库完全一致

图片

根据 CPU MAC 生成 注释鉴权代码重编译 如果觉得第一种方法比较复杂，也可以选择第二种简单粗暴的方法，直接注释掉核心鉴权代码 根据报错的关键字定位相关的文件，发现有以下这些文件参与鉴权，这些方法都来源于yard.Framework.dll

• EkpGlobal.CheckLicense() - 核心授权检查
• EkpPage.OnInit() - 页面初始化检查
• EkpPage.Page_Load() - 页面加载检查
• EkpUserControl.Page_Load() - 用户控件检查

因此我们可以使用dnspy导入dll，再导出工程到vs里面进行重编译 成功通过授权校验，访问系统首页 web.config配置分析 根据web.config分析，以下路径配置为允许所有用户访问（<allow users="*" />） （部分接口关键字替换了）整理如下： 配置路径访问路径说明<location path="XX">/XX/*.asmxWebService接口目录，所有ASMX文件可匿名访问<location path="aaa">/aaa/*.aspx该模块目录下所有aspx文件可匿名访问<location path="third">/third/*.aspx第三方集成目录<location path="Global/Pages/CheckPage">/Global/Pages/CheckPage/*.aspx检查页面目录<location path="Services/MobileDown.aspx">/Services/MobileDown.aspx移动端下载接口 漏洞分析 前台SSRF

• 文件路径:
• bin/yard.UI.Integration/yard.UI.Integration.third.template/Service.cs
• 方法:PostResponsethird目录配置允许匿名访问

图片

• link参数直接拼接:base.Request["link"]直接拼接到URL中，未进行任何验证
• 无URL白名单: 未限制可访问的URL范围，虽然固定使用http://，但可以通过传入link参数控制造成SSRF

图片

前台down.aspx SQL注入 前台Notify.asmx SQL注入

• 文件路径
• :bin/yard.WebService/yard.WebService.WS.Notify/Notify.cs
• LoginName参数直接拼接:person.LoginName直接拼接到SQL查询中

[WebMethod] public NotifyResult getTodo(string targets, int type, string otherCond, int rowSize, int pageNo) {     Person person = JsonConvert.DeserializeObject<Person>(targets);     if (!string.IsNullOrEmpty(person.LoginName))     {         // SQL注入点: LoginName参数直接拼接         string oneStrValue = yard.DataAccess.DataAccess.GetOneStrValue(             $"SELECT id FROM FI_ORG_EMP where account=N'{person.LoginName}'");         // ...     } } 构造请求，通过xp_cmdshell写入文件1.txt 前台任意用户添加

• 文件路
• 径:bin/yard.WebService/yard.WebService.WS/UserInfo.cs
• User方法使用[WebMethod]标记，WS目录被配置为允许所有用户访问，该方法无权限校验可直接执行数据库插入操作
• 继承于WebService可直接传入账号密码等信息新建用户，首先在数据库中查询是否存在该⽤户， 如果不存在就创建

FI_ORG_EMP为员工主表，可看到成功新建用户 后台UploadLogImg.aspx任意文件上传 文件bin\yard.Admin.UI\yard.Admin.UIUploadLogImg.cs提供了saveBg()和saveLogo()两个上传的方法 string text = base.Server.MapPath这个地方路径不可控，默认会写到/App_Themes/Login下面，文件名为日期命名 构造方法上传 /App_Themes/Login不允许，因此这个上传无法shell 后台 bulkinsert_data.aspx任意文件上传 但是不要灰心，这个点找不到就找下一个，继续搜SaveAs(filename)

• 这里还有两个值是必须的，__VIEWSTATE和__VIEWSTATEGENERATOR
• 当用户首次访问/XX/bulkinsert_data.aspx?id=1时，页面加载 -Page_Load方法执行，所有服务器控件初始化，使用 Base64 编码，生成__VIEWSTATE和__VIEWSTATEGENERATOR值，ASP.NET 会验证，没有ViewState会导致Invalid ViewState错误，控件状态无法恢复

string text = "/files/";  // 固定基础路径 string fileName = tpfile.PostedFile.FileName;  // 用户输入 int num = fileName.LastIndexOf("\\");  // 查找最后一个反斜杠 string empty = string.Empty; empty = ((num <= 0) ? ("\\" + fileName) : fileName.Substring(num));   tpfile.PostedFile.SaveAs(base.Server.MapPath(text + empty)); 可进行目录穿越，代码会取最后一个\之后的部分，但是正斜杠可以正常绕过

• ..\third\shell.aspx→empty = "shell.aspx"❌
• ../third/shell.aspx→empty = "third/shell.aspx"✅️

结合web.config，可写到third路径下