Exploiting __VIEWSTATE without knowing the secrets
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Wskazówka dotycząca bug bounty: zarejestruj się w Intigriti, premium platformie bug bounty stworzonej przez hackerów, dla hackerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody do 100 000 USD!
ViewState służy jako domyślny mechanizm w ASP.NET do utrzymywania danych strony i kontrolki między stronami internetowymi. Podczas renderowania HTML strony, bieżący stan strony i wartości do zachowania podczas postbacku są serializowane do ciągów zakodowanych w base64. Te ciągi są następnie umieszczane w ukrytych polach ViewState.
Informacje o ViewState można scharakteryzować następującymi właściwościami lub ich kombinacjami:
Base64:
Ten format jest wykorzystywany, gdy zarówno atrybuty EnableViewStateMac
, jak i ViewStateEncryptionMode
są ustawione na false.
Base64 + MAC (Kod uwierzytelniania wiadomości) włączony:
Aktywacja MAC osiągana jest przez ustawienie atrybutu EnableViewStateMac
na true. Zapewnia to weryfikację integralności danych ViewState.
Base64 + Szyfrowane:
Szyfrowanie jest stosowane, gdy atrybut ViewStateEncryptionMode
jest ustawiony na true, zapewniając poufność danych ViewState.
Obrazek to tabela szczegółowo opisująca różne konfiguracje dla ViewState w ASP.NET w zależności od wersji frameworka .NET. Oto podsumowanie treści:
Dla wszystkich wersji .NET, gdy zarówno MAC, jak i szyfrowanie są wyłączone, MachineKey nie jest wymagany, a zatem nie ma zastosowanej metody do jego identyfikacji.
Dla wersji poniżej 4.5, jeśli MAC jest włączony, ale szyfrowanie nie, wymagany jest MachineKey. Metoda identyfikacji MachineKey nazywa się "Blacklist3r."
Dla wersji poniżej 4.5, niezależnie od tego, czy MAC jest włączony, czy wyłączony, jeśli szyfrowanie jest włączone, wymagany jest MachineKey. Identyfikacja MachineKey to zadanie dla "Blacklist3r - Future Development."
Dla wersji 4.5 i wyższych, wszystkie kombinacje MAC i szyfrowania (czy to obie są true, czy jedna jest true, a druga false) wymagają MachineKey. MachineKey można zidentyfikować za pomocą "Blacklist3r."
Możliwe jest również całkowite wyłączenie ViewStateMAC, ustawiając klucz rejestru AspNetEnforceViewStateMac
na zero w:
Identyfikacja atrybutów ViewState
Możesz spróbować zidentyfikować, czy ViewState jest chroniony przez MAC, przechwytując żądanie zawierające ten parametr za pomocą BurpSuite. Jeśli MAC nie jest używany do ochrony parametru, możesz go wykorzystać za pomocą YSoSerial.Net
Programiści mogą usunąć ViewState z stania się częścią żądania HTTP (użytkownik nie otrzyma tego cookie). Można założyć, że jeśli ViewState jest nieobecny, ich implementacja jest bezpieczna przed wszelkimi potencjalnymi lukami związanymi z deserializacją ViewState. Jednak nie jest to prawda. Jeśli dodamy parametr ViewState do ciała żądania i wyślemy nasz zserializowany ładunek stworzony za pomocą ysoserial, nadal będziemy w stanie osiągnąć wykonanie kodu, jak pokazano w Przypadku 1.
Aby włączyć ViewState MAC dla konkretnej strony, musimy wprowadzić następujące zmiany w konkretnym pliku aspx:
Możemy to również zrobić dla całej aplikacji, ustawiając to w pliku web.config, jak pokazano poniżej:
Ponieważ parametr jest chroniony przez MAC, aby pomyślnie przeprowadzić atak, najpierw musimy zdobyć użyty klucz.
Możesz spróbować użyć Blacklist3r(AspDotNetWrapper.exe) , aby znaleźć użyty klucz.
Badsecrets to kolejne narzędzie, które może zidentyfikować znane machineKeys. Jest napisane w Pythonie, więc w przeciwieństwie do Blacklist3r, nie ma zależności od Windows. Dla .NET viewstates istnieje narzędzie "python blacklist3r", które jest najszybszym sposobem na jego użycie.
Można je dostarczyć z viewstate i generatorem bezpośrednio:
Lub może połączyć się bezpośrednio z docelowym URL i spróbować wydobyć viewstate z HTML:
Aby wyszukiwać podatne viewstate'y na dużą skalę, w połączeniu z enumeracją subdomen, można użyć modułu badsecrets
BBOT:
Jeśli masz szczęście i klucz zostanie znaleziony, możesz kontynuować atak używając YSoSerial.Net:
W przypadkach, gdy parametr _VIEWSTATEGENERATOR
nie jest wysyłany przez serwer, nie musisz podawać parametru --generator
, ale te:
W tym przypadku nie wiadomo, czy parametr jest chroniony za pomocą MAC. Wtedy wartość jest prawdopodobnie zaszyfrowana i będziesz potrzebować klucza maszyny, aby zaszyfrować swój ładunek, aby wykorzystać lukę.
W tym przypadku Blacklist3r moduł jest w trakcie rozwoju...
Przed .NET 4.5, ASP.NET może akceptować niezaszyfrowany ___VIEWSTATE
_ parametr od użytkowników nawet jeśli ViewStateEncryptionMode
został ustawiony na Zawsze. ASP.NET sprawdza tylko obecność parametru __VIEWSTATEENCRYPTED
w żądaniu. Jeśli usuniemy ten parametr i wyślemy niezaszyfrowany ładunek, nadal zostanie on przetworzony.
Dlatego jeśli atakujący znajdą sposób na uzyskanie klucza maszyny za pomocą innej luki, takiej jak przejście do pliku, YSoSerial.Net polecenie użyte w Przypadku 2, może być użyte do przeprowadzenia RCE przy użyciu luki w deserializacji ViewState.
Usuń parametr __VIEWSTATEENCRYPTED
z żądania, aby wykorzystać lukę w deserializacji ViewState, w przeciwnym razie zwróci błąd walidacji MAC Viewstate i exploit się nie powiedzie.
Możemy wymusić użycie frameworka ASP.NET, określając poniższy parametr w pliku web.config, jak pokazano poniżej.
Alternatywnie, można to zrobić, określając poniższą opcję wewnątrz parametru machineKey
w pliku web.config.
Jak w poprzednim przypadku wartość jest zaszyfrowana. Następnie, aby wysłać ważny ładunek, atakujący potrzebuje klucza.
Możesz spróbować użyć Blacklist3r(AspDotNetWrapper.exe) , aby znaleźć używany klucz:
Dla bardziej szczegółowego opisu IISDirPath i TargetPagePath zobacz tutaj
Lub, z Badsecrets (z wartością generatora):
Gdy zidentyfikowany zostanie ważny klucz maszyny, następnym krokiem jest wygenerowanie zserializowanego ładunku za pomocą YSoSerial.Net
Jeśli masz wartość __VIEWSTATEGENERATOR
, możesz spróbować użyć parametru --generator
z tą wartością i pominąć parametry --path
i --apppath
.
Udana eksploitacja podatności deserializacji ViewState doprowadzi do żądania out-of-band do serwera kontrolowanego przez atakującego, które zawiera nazwę użytkownika. Tego rodzaju exploit jest demonstrowany w dowodzie koncepcji (PoC), który można znaleźć w zasobie zatytułowanym "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET". Aby uzyskać dalsze szczegóły na temat tego, jak działa proces eksploitacji i jak wykorzystać narzędzia takie jak Blacklist3r do identyfikacji MachineKey, możesz zapoznać się z dostarczonym PoC udanej eksploitacji.
Właściwość ViewStateUserKey może być używana do obrony przed atakiem CSRF. Jeśli taki klucz został zdefiniowany w aplikacji i próbujemy wygenerować ładunek ViewState za pomocą metod omówionych do tej pory, ładunek nie zostanie przetworzony przez aplikację. Musisz użyć jeszcze jednego parametru, aby poprawnie stworzyć ładunek:
Dla wszystkich przypadków testowych, jeśli ładunek ViewState YSoSerial.Net działa pomyślnie, serwer odpowiada “500 Internal server error” z treścią odpowiedzi “Informacje o stanie są nieprawidłowe dla tej strony i mogą być uszkodzone” i otrzymujemy żądanie OOB.
Sprawdź dalsze informacje tutaj
Tip dotyczący bug bounty: zarejestruj się w Intigriti, premium platformie bug bounty stworzonej przez hackerów, dla hackerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody do 100 000 USD!
Ucz się i ćwicz hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)