奇安信攻防社区-记一次通用.NET系统通杀漏洞挖掘：从登录旁路到敏感信息泄露

记一次通用.NET系统通杀漏洞挖掘：从登录旁路到敏感信息泄露

目标系统概述：目标系统为经典的MVC架构.NET应用。在前期信息收集中，曾发现其备份文件，本次审计聚焦于核心业务逻辑与权限控制。

首先这个系统是经典的MVC型架构

这里为不熟悉开发的同学们解释一下什么是MVC型架构，这有助于帮助初学者进行快速代码审计

简单来说就是就是将应用程序逻辑划分为三个相互连接但又彼此独立的核心组件：

1. Model（模型）：数据处理（CRUD），**业务处理等，漏洞往往出现在这里**
2. View（视图）：**代码审计大多数情况下我们会忽视这个，这是负责界面的区域**
3. **Controller（控制器）：可以理解为调用方法的入口，这也是我们的切入点**  
    ![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753006672324-543905ea-873e-4502-8d9e-4cd49f8a9bfa.png)

本套源码其实正符合这一经典架构

#### **0x01 登录逻辑初探与旁路尝试**

全局搜索`login`关键词，定位登录逻辑代码

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753007322572-0aed1ec4-1e97-4775-9847-906910dbc44b.png)

审计登录流程时，发现代码对`inWxlogin`参数存在特殊处理，疑似可直接放行登录。构造请求尝试利用：

**尝试结果：** 添加`inWxlogin`参数后系统直接报错，推测目标环境已部署新版修复此漏洞。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753007527215-d6166d2b-1108-4659-aecf-85b468e731f6.png)

- - - - - -

#### **0x02 关键Session方法审计**

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753007575381-fc8efd43-dc7b-4d9d-a78c-5ffdc6017422.png)

登录逻辑中调用了`setLoginSession`方法进行会话设置。**全局搜索**`**setLoginSession**`**方法并审查调用链**，未发现可利用点。进一步审计时，注意到其**基类**`**BaseController**` 中存在另一个关键方法：`setLoginOperatorSession`。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753007652429-1c75f99b-1aa2-4ac4-a31d-18ebf0f32987.png)

**这里就有了关键发现：** `BaseController`**未配置访问控制过滤器**，继承的类也没有鉴权逻辑，其方法理论上可直接访问。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753007807854-d12561dc-d2d8-4b72-9f06-f6717b7d43f5.png)

**我们进行验证尝试：** 直接请求`setLoginOperatorSession`方法接口。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753008212371-1f2d9b46-f9dc-4f68-a589-b92d366c06fc.png)

发现能够直接访问，但是访问该接口会报错

刚才代码片段下面的setLoginOperatorSession也是一个设置session的方法，尝试利用，发现是能够使用的

分析代码

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/08/attach-91cab7068bf00269eec6e52957ee113fa71ce5eb.png)

**我们需要进行Payload构造：** 使用前期获取的错误返回Token（这里需Base64编码，原始Token会报格式错误）。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753008577820-04a6fb69-2a46-4461-8767-39410c16b204.png)

方法可访问且执行成功！成功设置登录会话（Session），这里已经实现了登录绕过。

- - - - - -

#### **0x03 会话伪造与初步权限获取**

利用`setLoginOperatorSession`方法伪造的Session Cookie访问系统主页，**登录成功！** 初步证明该方法存在**未授权访问漏洞**，可导致任意账户会话伪造。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753008826054-7507cb88-9084-44e2-99cf-f8adb1bcdd54.png)

在尝试测试功能点时，系统突然返回“Token错误”

我们开始抓包分析

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753008943085-6483e334-dde9-4c2b-8eb4-a6f8cab1af23.png)

这里可以看到状态码200，返回错误信息是“Token错误”

我们的思路是先去代码里面寻找

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009190037-b207aec6-e745-42a3-892f-750203e79364.png)

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009205275-f3ba21d8-555e-4c26-9910-95b93ea26af4.png)

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009221938-bbd20c69-25b2-49d6-b7ac-c4ccf97c91d6.png)

我们缺少远程校验限制的代码，我们只能尝试去其他功能点来实现突破

- - - - - -

#### **0x04 绕过远程Token校验**

在已伪造的会话权限下，**探索系统可用功能点**，发现一个“查询学生信息”功能可调用。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009572914-c864cea6-7231-4b75-b944-4ef0dced296f.png)

我们先**黑盒测试**功能**：** 输入测试学号尝试查询。这里我们取得了**关键突破：** 虽然查询仍返回“Token错误”，但在请求响应中，**发现服务器返回了该查询用户的合法Token信息**（`userId`和`token`）。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009619219-fd61a67a-d83b-4b44-924b-47eef7af0aa8.png)

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009661315-925231e4-dd63-45ea-aafd-8ce21ec78c5e.png)

**这里我们利用回显Token：** 使用响应中泄露的`userId`和`token`，**再次调用**`**setLoginOperatorSession**`**方法**设置新的有效会话。最终结果就是我们成功绕过远程校验限制，获得稳定、功能完整的登录权限。

- - - - - -

#### **0x05 敏感信息泄露漏洞挖掘**

在拥有稳定权限后，**全局搜索与查询功能相关的参数**（如`querystudent`）。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009862682-fe86e3ff-26d2-427a-a7c9-c0e00a346af2.png)

这里我们定位到了方法`geStulnfo`。我们开始进行**漏洞验证：** 调用`geStulnfo`方法，成功**获取到目标学生的详细敏感信息**（如身份证号、联系方式、家庭住址等）。

![](https://cdn.nlark.com/yuque/0/2025/png/44950806/1753009933993-673a28c4-e836-42e1-90ff-859fa180248d.png)

**漏洞性质：** 此接口存在**未授权/越权访问**或**敏感信息过度暴露**问题，导致敏感数据泄露。

- - - - - -

#### **0x06 漏洞通杀性分析**

可复用，制作指纹放在测绘引擎当中就可以实现通杀

发表于 2025-09-11 09:00:00
阅读 ( 1239 )
分类：代码审计

1 条评论

c铃儿响叮当 2025-09-11 09:36

请分享指纹