SharePoint站点页面安全性分析

我们找到了一种方法，可以通过事件属性执行命令，这也可能是服务端会阻止事件属性、将其当成内联脚本的原因所在：
asp:Button id="Button1"    Text="Apply Image Alignment" />
然而这种方式并不是特别有用，因为服务端会阻止内联脚本。如果我们能将代码嵌入/app_themes/目录的.skin文件中，有可能实现代码执行，但这在SharePoint中是无法完成的一个任务。我们可以观察System.Web.UI.ControlBuilder类的PreprocessAttribute方法，分析其中的验证及数据提取过程。
我们花了不少时间，最终找到了一种解决方案，可以通过@import和@register指令实现代码注入。比如，我们可以通过如下payload，将代码注入到C#文件中（C#文件由.NET基于ASPX文件自动创建）：
 
或者可以使用如下方式：
 
效果如下图所示：

 
0x04 总结及后续工作
在本文中，我们分析了SharePoint站点页面的安全性，演示了如何在不使用服务端脚本的编译模式下，通过代码注入实现代码执行目标。
后续我们可以继续研究服务端已允许的控件的作用，其中某些控件可能会导致某些漏洞，比如SSRF。
如果大家对SharePoint中VirtualPathProvider的工作方式比较感兴趣，可以进一步了解SPVirtualPathProvider的相关内容。
 

上一页  [1] [2] [3] 

 3/4   首页 上一页 1 2 3 4 下一页 尾页