Web.config在渗透中的作用是什么，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

前言

　下面主要介绍web.config文件在渗透中的作用，即可上传一个web.config时的思路，话不多说，开始正题。首先我们来看一下web.config是什么，援引百度百科的介绍：　

Web.config文件是一个XML文本文件，它用来储存ASP.NETWeb 应用程序的配置信息,它可以出现在应用程序的每一个目录中。在运行时对Web.config文件的修改不需要重启服务就可以生效.

关键词：xml文本、.net配置、无需重启，这几个特性就决定了其在渗透中的作用，我们来看下具体操作。

以下实验环境为:

windows server 2008

iis 7

.net 3.5

具体利用

（一）使用web.config进行重定向钓鱼

首先通过实验了解什么是重定向：数据流重定向

实验:数据流重定向(合天网安实验室)

（数据流重定向就是将某个指令执行后应该要出现在屏幕上的数据，将它们传输到其他的地方。）

在iis中有一项为url redirect也就是用来进行url重定向的，当我们可以长传一个web.config的时候我们就可以使用这种方式来进行钓鱼攻击，在这里要注意的是，不同的iis版本的配置稍有不同，以本次环境中的iis7为例，假如我们想让目标网站跳转到baidu，我们只需要这样写我们的web.config：

中间的一行为我们具体实现的代码，即开启重定向并重定向到百度，剩下的都是服务默认的自带的，相当于模板，此时我们访问目标站点，就会跳转到baidu了。

而大于等于iis7版本就稍微复杂一些，因为在这之后多了一个url write功能，其中包含了url重定向，所以很多开发选择使用这个功能进行操作。我们来看一下，如果为url write该如何去做。假如我们在url write定义了一个规则为：为所有不带斜杠(/)的网址，自动加上斜杠(/)，比如下图这样：

那么我们的web.config就会自动生成以下内容：

看起来有些难懂，下面稍微给大家说一下，首先在url write分为入站规则()和出站规则()他们需要写在的元素内，我们一般钓鱼只考虑入站规则，AddTrailingSlashRule1为一个新的规则名字，可随意定义，若stopProcessing指定为true则若当前请求与规则匹配，则不再匹配其他请求。为进行匹配的url，一般使用正则表达式的形式，而元素告诉IIS如何处理与模式匹配的请求，使用type属性来进行处理，一般有以下几个：

• None：
  

• Rewrite：将请求重写为另一个URL。
  

• Redirect：将请求重定向到另一个URL。
  

• CustomResponse：向客户返回自定义响应。
  

• AbortRequest：删除请求的HTTP连接。
  

而redirectType属性指定要使用永久重定向还是临时重定向。剩下的大家可以查阅msdn上面的手册，写的非常详细。说了这么多，估计大家就能明白怎么去写web.config了，给出大家一个url write的web.config钓鱼模板，可自行进行修改：

因为web.config不需要重启服务，所以当我们能够传一个web.config上去的时候，我们也就达到了我们的目的，也有可能运维人员已经写好了一些规则，我们不想贸然惊动管理者的话，如果此时我们可以上传.shtm或.shtml文件，并使用以下代码来读取web.config的内容。

千家信息网

千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航： 首页 > 网络安全 >

Web.config在渗透中的作用是什么

发表于：2025-01-19 作者：千家信息网编辑

千家信息网最后更新 2025年01月19日，Web.config在渗透中的作用是什么，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。前言下面主要介绍web.confi

千家信息网最后更新 2025年01月19日Web.config在渗透中的作用是什么

Web.config在渗透中的作用是什么，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

前言

　下面主要介绍web.config文件在渗透中的作用，即可上传一个web.config时的思路，话不多说，开始正题。首先我们来看一下web.config是什么，援引百度百科的介绍：　

Web.config文件是一个XML文本文件，它用来储存ASP.NETWeb 应用程序的配置信息,它可以出现在应用程序的每一个目录中。在运行时对Web.config文件的修改不需要重启服务就可以生效.

关键词：xml文本、.net配置、无需重启，这几个特性就决定了其在渗透中的作用，我们来看下具体操作。

以下实验环境为:

windows server 2008

iis 7

.net 3.5

具体利用

（一）使用web.config进行重定向钓鱼

首先通过实验了解什么是重定向：数据流重定向

实验:数据流重定向(合天网安实验室)

（数据流重定向就是将某个指令执行后应该要出现在屏幕上的数据，将它们传输到其他的地方。）

在iis中有一项为url redirect也就是用来进行url重定向的，当我们可以长传一个web.config的时候我们就可以使用这种方式来进行钓鱼攻击，在这里要注意的是，不同的iis版本的配置稍有不同，以本次环境中的iis7为例，假如我们想让目标网站跳转到baidu，我们只需要这样写我们的web.config：

中间的一行为我们具体实现的代码，即开启重定向并重定向到百度，剩下的都是服务默认的自带的，相当于模板，此时我们访问目标站点，就会跳转到baidu了。

而大于等于iis7版本就稍微复杂一些，因为在这之后多了一个url write功能，其中包含了url重定向，所以很多开发选择使用这个功能进行操作。我们来看一下，如果为url write该如何去做。假如我们在url write定义了一个规则为：为所有不带斜杠(/)的网址，自动加上斜杠(/)，比如下图这样：

那么我们的web.config就会自动生成以下内容：

看起来有些难懂，下面稍微给大家说一下，首先在url write分为入站规则()和出站规则()他们需要写在的元素内，我们一般钓鱼只考虑入站规则，AddTrailingSlashRule1为一个新的规则名字，可随意定义，若stopProcessing指定为true则若当前请求与规则匹配，则不再匹配其他请求。为进行匹配的url，一般使用正则表达式的形式，而元素告诉IIS如何处理与模式匹配的请求，使用type属性来进行处理，一般有以下几个：

• None：
  

• Rewrite：将请求重写为另一个URL。
  

• Redirect：将请求重定向到另一个URL。
  

• CustomResponse：向客户返回自定义响应。
  

• AbortRequest：删除请求的HTTP连接。
  

而redirectType属性指定要使用永久重定向还是临时重定向。剩下的大家可以查阅msdn上面的手册，写的非常详细。说了这么多，估计大家就能明白怎么去写web.config了，给出大家一个url write的web.config钓鱼模板，可自行进行修改：

因为web.config不需要重启服务，所以当我们能够传一个web.config上去的时候，我们也就达到了我们的目的，也有可能运维人员已经写好了一些规则，我们不想贸然惊动管理者的话，如果此时我们可以上传.shtm或.shtml文件，并使用以下代码来读取web.config的内容。

[an error occurred while processing the directive]

并根据读取的内容来进行后续操作。

（二）使用web.config进行xss

这是一种比较古老的技术，依靠web.config的name属性，来构造一个xss，前提是iis6或者更低的版本不支持这类攻击，假设我们上传的web.config内容如下：

则我们访问该文件时则会弹出xss

（三）使用web.config运行asp代码

这类攻击方法其实也不是什么很稀奇的技术，因为web.config可以操控iis服务器，那么我们可以去调用system32\inetsrv\asp.dll文件，来达到运行任意asp代码的目的。比如下面这样：

<%Response.write("-"&"->")' it is running the ASP code if you can see 3 by opening the web.config file!Response.write(1+2)Response.write("

此时访问文件，则会输出3,运行其他的代码同理哦。

（四）使用web.config绕过hidden segments

在iis7以后，微软为了增加其安全性增加了hidden segments功能对应请求过滤模块，也就是对一些不想让其他人访问的东西进行过滤，在被访问时返回给客户端一个404.8的状态码。一般在web.config中使用来进行指定隐藏的值。比如我们设置了一个文件夹为hiddenSegments，那么在访问时就是下图这种情况。

比如文件夹为_private则对应生成的web.config内容如下

而此时我们可以通过上传web.config的形式，来绕过这种过滤。

因为过滤的本质是使用的APP_Data或者App_GlobalResources进行的add，我们将其remove掉即可。

（五）使用web.config进行rce

这个跟执行asp代码原理上差不多，主要是使用AspNetCoreModule模块去调用cmd进行命令执行。

这个过程通过去访问服务器上的backdoor.me进行触发，因为是在服务端进行执行的，这时候我们可以如调用powershell，来返回一个反向的shell。

（六）使用系统秘钥来反序列化进行rce

这个是一种.net的反序列化操作，有兴趣的朋友可以参考orange师傅在hicton上出的题https://xz.aliyun.com/t/3019

（七）使用web.config启用 XAMLX来getshell

XAMLX文件一般用于工作流服务，使用消息活动来发送和接收Windows Communication Foundation（WCF）消息的工作流。而我们可以使用该文件进行命令执行，一般有两种方法，一种是反序列化，另一种就是其本身的文件浏览功能在浏览上传的文件时，执行命令。以第二种为例，代码内容如下：

[System.Diagnostics.Process.Start("cmd.exe", "/c calc").toString()]

发送一个post请求即可调用该文件进行命令执行：

POST /uploaded.xamlx HTTP/1.1Host: 192.168.0.105SOAPAction: testmeContent-Type: text/xmlContent-Length: 94

所以我们也可以使用这种方法来进行反弹shell。

但是该文件并非全部开启，若目标服务器启用了ＷCＦ服务我们可以使用下面的web.config进行启用这类文件

（八）使用web.config绕过执行限制

在一个可读写的目录里无法执行脚本, 可以通过上传特殊的 web.config 文件突破限制.比如这种：

上传后即可访问、运行代码。

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注行业资讯频道，感谢您对的支持。

很赞哦！

文件 服务 代码 内容 规则 运行 功能 命令 数据 实验 作用 就是 属性 序列 数据流 方法 服务器 版本 目标 攻击 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 dw服务器 GISAlD数据库 数据库增加字段不为空 教室信息管理系统设计数据库 声誉好的语音聊天软件开发 金山区机械软件开发试验设备 江苏java软件开发项目 衡阳软件开发公司哪家靠谱 pi币在全球有多少台服务器 明日服务器开启一般几点 威刚服务器内存 数据库的连接技术 霸州管理软件开发 华为软件开发是哪个部门 软件开发是研发费用吗 华为网络技术比赛吧 桌面电脑服务器 中小学智慧校园服务器异常 网络安全技术匿名邮件 郑州软件开发驻场报价 网络安全动漫小剧场 物联网安全与传统网络安全 数据库增加字段不为空 顺义区高科技软件开发服务供应 战地1亚洲服务器 备份软件如何备份数据库 软件开发时间节点确定 网络安全友商加班 如何利用网络技术平台革新 数据库中常见的数据模型

扫描关注千家信息网微信公众号，第一时间获取内容更新动态

转载请说明来源于"千家信息网"

本文地址：https://www.qianjiagd.com/a164413

• 上一篇

  怎么实现Cisco CDP协议栈溢出漏洞CVE-2020-3119分析

  这篇文章将为大家详细讲解有关怎么实现Cisco CDP协议栈溢出漏洞CVE-2020-3119分析，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。Cis

• 下一篇

  Linux之网络管理

  linux网卡配置文件：/etc/sysconfig/network-scripts/ifcf-xxxDEVICE：此配置文件应用到的哪个设备，此选项为必备参数，需要正确配置。HWADDR：对应的设备

相关文章

• 10.nessus漏扫系统的下载和更新插件
• 网络设备AAA认证
• NSA：运营SOC的5大原则（含解读）
• 数据脱敏——什么是数据脱敏
• [运维] 第五篇：数据中心改善运维，ITIL与ISO2000
• VMware 运维 --数据中心启用HA后 HA代理报错
• 跨终端文件传输如何实现“左手复制、右手粘贴”的即时传输？
• 局域网MAC地址认证上网如何实现
• 关于桌面视频文件常见故障及解决办法
• 查找后台的几种方法

并根据读取的内容来进行后续操作。

（二）使用web.config进行xss

这是一种比较古老的技术，依靠web.config的name属性，来构造一个xss，前提是iis6或者更低的版本不支持这类攻击，假设我们上传的web.config内容如下：

则我们访问该文件时则会弹出xss

（三）使用web.config运行asp代码

这类攻击方法其实也不是什么很稀奇的技术，因为web.config可以操控iis服务器，那么我们可以去调用system32\inetsrv\asp.dll文件，来达到运行任意asp代码的目的。比如下面这样：

<%Response.write("-"&"->")' it is running the ASP code if you can see 3 by opening the web.config file!Response.write(1+2)Response.write("

此时访问文件，则会输出3,运行其他的代码同理哦。

（四）使用web.config绕过hidden segments

在iis7以后，微软为了增加其安全性增加了hidden segments功能对应请求过滤模块，也就是对一些不想让其他人访问的东西进行过滤，在被访问时返回给客户端一个404.8的状态码。一般在web.config中使用来进行指定隐藏的值。比如我们设置了一个文件夹为hiddenSegments，那么在访问时就是下图这种情况。

比如文件夹为_private则对应生成的web.config内容如下

而此时我们可以通过上传web.config的形式，来绕过这种过滤。

因为过滤的本质是使用的APP_Data或者App_GlobalResources进行的add，我们将其remove掉即可。

（五）使用web.config进行rce

这个跟执行asp代码原理上差不多，主要是使用AspNetCoreModule模块去调用cmd进行命令执行。

这个过程通过去访问服务器上的backdoor.me进行触发，因为是在服务端进行执行的，这时候我们可以如调用powershell，来返回一个反向的shell。

（六）使用系统秘钥来反序列化进行rce

这个是一种.net的反序列化操作，有兴趣的朋友可以参考orange师傅在hicton上出的题https://xz.aliyun.com/t/3019

（七）使用web.config启用 XAMLX来getshell

XAMLX文件一般用于工作流服务，使用消息活动来发送和接收Windows Communication Foundation（WCF）消息的工作流。而我们可以使用该文件进行命令执行，一般有两种方法，一种是反序列化，另一种就是其本身的文件浏览功能在浏览上传的文件时，执行命令。以第二种为例，代码内容如下：

[System.Diagnostics.Process.Start("cmd.exe", "/c calc").toString()]

发送一个post请求即可调用该文件进行命令执行：

POST /uploaded.xamlx HTTP/1.1Host: 192.168.0.105SOAPAction: testmeContent-Type: text/xmlContent-Length: 94

所以我们也可以使用这种方法来进行反弹shell。

但是该文件并非全部开启，若目标服务器启用了ＷCＦ服务我们可以使用下面的web.config进行启用这类文件

（八）使用web.config绕过执行限制

在一个可读写的目录里无法执行脚本, 可以通过上传特殊的 web.config 文件突破限制.比如这种：

上传后即可访问、运行代码。

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注行业资讯频道，感谢您对的支持。