我是一家安保公司的笔测试员。
作为我们PT的一部分,如果我们成功了,我们有时上传一个反向shell ASPX文件,我不能在这里分享,原因显而易见但我们想用密码保护文件。
我们的程序员尝试这样做,但他们不知道怎么做,只能通过web.config文件(即使我们获得访问权限,也不会修改)
我们需要这样做的原因是,当我们上传文件时,风险是因为如果真正的恶意用户发现他控制了系统的shell.aspx文件,我们希望减轻这种风险。
那么有没有办法用密码保护特定的ASPX文件?
TY。
答案 0 :(得分:0)
(发布为待回复评论的答案)
我假设您的shell.aspx在运行时向用户显示一个包含输入的表单作为命令提示符,并且您希望此功能可用于演示目的,但不能用于驱动程序偶然发现网页网址的攻击者。
我要做的是修改页面,以便它还提示输入(强)密码。据推测,页面服务器端代码隐藏逻辑位于同一文件中 - 您必须对密码的单向加密哈希进行硬编码,并且只有在密码的哈希值与硬编码值匹配时才执行用户命令