0×01 前语
笔者在“探究.NET完成一句话木马”系列文章中，运用一般处理程序（当然也不限于ashx，a *** x照样可用）的时分发现一处功用点能够自定义文件类型映射，再合作强壮的csc和js编译器就能够完美的生成DLL而且作为WebShell后门程序，这就给攻击者在后浸透阶段权限保持供给了极大的便当，此后门能够完成恣意后缀名拜访，能够绕过一些IDS等防护产品。笔者从攻防的视角总结出一点姿态和我们同享一下。关于本文介绍到的权限保持的办法和过程，笔者画了简易的流程图 ，如下图。
传送门
探究根据.NET下完成一句话木马之ashx篇
探究根据.NET下完成一句话木马之A *** x篇
探究根据.NET下完成一句话木马之SVC篇

躲藏手法
阐明
运用App_Code目录
攻击者创立类文件而且在代码中写入一句话木马，在别处文件中实例化调用该类
直接上传DLL
攻击者本地制造一个DLL，能够挑选性的加壳后上传到Bin目录下
本地生成DLL
攻击者运用WebShell在Bin目录下生成DLL后门
榜首种办法考虑在App_Code目录下创立类文件且在代码中写入一句话木马，再回到根目录下寻觅可追加代码的文件或许创立新的文件来调用类；第二种办法考虑在本地创立好一个DLL更好加上壳，再上传到Bin目录下后修正web.config文件添加handlers节点追加映射联系；第三种办法运用本地的环境生成DLL后修正映射拜访；这样的优点清楚明了，一句话或 大小马内容悉数保存在DLL中，传统的文本查杀不见效，而且拜访的时分经过GIF后缀名拜访回显的是一个图片验证码这样也能逃逸一些根据流量特征检测的IDS产品，下面分几个末节来详细阐明完成的原理和过程。
0×02 DLL型WebShell后门
在介绍DLL后门之前需求介绍.NET运用中两个特别的目录，一个是App_Code目录、还有一个是Bin目录；它们的效果都是在多个Web 运用程序或多个页之间同享代码，App_Code 文件夹能够包括.vb、.cs等扩展名的源代码文件,，在运行时将会主动对这些代码进行编译，Web运用程序中的其他任何代码都能够拜访到，笔者为了更好的演示效果，新建了一个App_Code目录，而且在About.aspx里完成了下面代码：

Apptest.ashx中代码如下，效果是输出一句话“Hello World , this is App_Code ProcessRequest”

翻开VS调试输出的成果如下图

若Web运用里存在App_Code 目录，攻击者将一句话木马躲藏在该目录下的某个文件的办法里，刚好该办法能够被外界的其它的文件调用到，这样就能够完成一个较为荫蔽的后门程序，但这种荫蔽仍旧会被D盾或许安全狗查杀到，明显这种办法不是更佳的挑选，所以能够考虑放到Bin目录下的DLL文件中。
至于.NET运用程序中Bin目录有何效果，先来段介绍：Bin文件夹中存放着现已编译的程序集，而且 在Web 运用程序恣意处的其他代码会主动引证该文件夹。典型的示例是您为自定义类编译好的代码。您能够将编译后的程序集复制到Web运用程序的 Bin文件夹中，这样一切页都能够运用这个类。Bin文件夹中的程序集无需注册。只需.dll 文件存在于 Bin 文件夹中，.NET 就能够辨认它。如果您更改了 .dll 文件，并将它的新版别写入到了 Bin 文件夹中，则 .NET 会检测到更新，并对随后的新页恳求运用新版别的 .dll 文件。接下来笔者假定服务器上现已存在一个WebShell，创立一个ashx的小马，留意代码是C#的即可，至于文件的后缀名能够恣意指定，笔者指定为C:inetpubwwwrootAdminWeb.txt如下图

保存后到WebShell的CMD窗口下去调用csc.exe编译这个AdminWeb.txt，csc.exe是 .NET供给的能够在指令行下编译cs文件的东西，装置了.Net环境的主机csc.exe的默许方位在 C:WindowsMicrosoft.NETFramework[.NET详细版别号]目录下，例如笔者装了VS之后也会主动装置2.0/3.5/4.0版别，在命名行下输入 /? 看到一切的协助

其间 /t:library 表明生成dll，/r参数表明引证DLL，-out参数表明生成dll的方位，这儿很明显得放到Bin目录下，完好指令如下：

看到下列内容的输出，表明指令履行成功！

WebShell履行成果如图

[1] [2] [3]  黑客接单网