Exploiting __VIEWSTATE without knowing the secrets
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty ipucu: Intigriti'ye kaydolun, hackerlar tarafından, hackerlar için oluşturulmuş bir premium bug bounty platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
ViewState, ASP.NET'te web sayfaları arasında sayfa ve kontrol verilerini korumak için varsayılan mekanizma olarak hizmet eder. Bir sayfanın HTML'sinin işlenmesi sırasında, sayfanın mevcut durumu ve bir postback sırasında korunması gereken değerler base64 kodlu dizelere serileştirilir. Bu dizeler daha sonra gizli ViewState alanlarına yerleştirilir.
ViewState bilgileri aşağıdaki özellikler veya bunların kombinasyonları ile karakterize edilebilir:
Base64:
Bu format, hem EnableViewStateMac
hem de ViewStateEncryptionMode
öznitelikleri false olarak ayarlandığında kullanılır.
Base64 + MAC (Mesaj Kimlik Doğrulama Kodu) Etkin:
MAC'in etkinleştirilmesi, EnableViewStateMac
özniteliğinin true olarak ayarlanmasıyla sağlanır. Bu, ViewState verileri için bütünlük doğrulaması sağlar.
Base64 + Şifreli:
Şifreleme, ViewStateEncryptionMode
özniteliği true olarak ayarlandığında uygulanır ve ViewState verilerinin gizliliğini sağlar.
Görüntü, .NET framework sürümüne göre ASP.NET'teki ViewState için farklı yapılandırmaları detaylandıran bir tabloyu göstermektedir. İşte içeriğin özeti:
Herhangi bir .NET sürümü için, hem MAC hem de Şifreleme devre dışı bırakıldığında, bir MachineKey gerekli değildir ve dolayısıyla bunu tanımlamak için geçerli bir yöntem yoktur.
4.5'ten düşük sürümler için, eğer MAC etkinleştirilmiş ancak Şifreleme değilse, bir MachineKey gereklidir. MachineKey'i tanımlama yöntemi "Blacklist3r" olarak adlandırılır.
4.5'ten düşük sürümler için, MAC etkinleştirilmiş veya devre dışı bırakılmış olsun, eğer Şifreleme etkinse, bir MachineKey gereklidir. MachineKey'i tanımlamak "Blacklist3r - Gelecek Geliştirme" için bir görevdir.
4.5 ve üzeri sürümler için, MAC ve Şifreleme'nin tüm kombinasyonları (her ikisi de true, ya da biri true diğeri false) bir MachineKey gerektirir. MachineKey "Blacklist3r" kullanılarak tanımlanabilir.
ViewStateMAC'i tamamen devre dışı bırakmak için AspNetEnforceViewStateMac
kayıt defteri anahtarını sıfıra ayarlamak da mümkündür:
ViewState Özelliklerini Belirleme
ViewState'in MAC ile korunup korunmadığını belirlemek için BurpSuite ile bu parametreyi içeren bir isteği yakalamayı deneyebilirsiniz. Eğer parametreyi korumak için Mac kullanılmıyorsa, bunu YSoSerial.Net kullanarak istismar edebilirsiniz.
Geliştiriciler ViewState'i bir HTTP İsteğinin parçası olmaktan kaldırabilir (kullanıcı bu çerezi almayacaktır). Eğer ViewState mevcut değilse, uygulamalarının ViewState deserialization ile ortaya çıkabilecek potansiyel zafiyetlerden güvenli olduğu varsayılabilir. Ancak durum böyle değil. Eğer isteğin gövdesine ViewState parametresi ekler ve ysoserial kullanarak oluşturduğumuz serileştirilmiş yükü gönderirsek, Case 1'de gösterildiği gibi kod yürütme elde edebileceğiz.
Belirli bir sayfa için ViewState MAC'i etkinleştirmek amacıyla belirli bir aspx dosyasında aşağıdaki değişiklikleri yapmamız gerekiyor:
Aşağıda gösterildiği gibi web.config dosyasında ayarlayarak genel uygulama için de bunu yapabiliriz:
Parametre MAC ile korunduğundan, saldırıyı başarıyla gerçekleştirmek için öncelikle kullanılan anahtara ihtiyacımız var.
Kullanılan anahtarı bulmak için Blacklist3r(AspDotNetWrapper.exe) kullanmayı deneyebilirsiniz.
Badsecrets bilinen machineKeys'i tanımlayabilen başka bir araçtır. Python ile yazılmıştır, bu nedenle Blacklist3r'ın aksine Windows bağımlılığı yoktur. .NET viewstate'leri için "python blacklist3r" aracı bulunmaktadır, bu da onu kullanmanın en hızlı yoludur.
Viewstate ve generator doğrudan sağlanabilir:
Ya da, hedef URL'ye doğrudan bağlanabilir ve viewstate'i HTML'den çıkarmaya çalışabilir:
Kapsamlı bir şekilde savunmasız viewstate'leri aramak için, alt alan adları belirleme ile birlikte, badsecrets
BBOT modülü kullanılabilir:
Eğer şanslıysanız ve anahtar bulunursa, YSoSerial.Net: ile saldırıya devam edebilirsiniz:
In cases where _VIEWSTATEGENERATOR
parameter sunulmazsa by the server you gerekmez to sağlamak the --generator
parameter ama bunlar:
Bu durumda, parametrenin MAC ile korunup korunmadığı bilinmemektedir. Bu durumda, değer muhtemelen şifrelenmiştir ve açığı istismar etmek için yükünüzü şifrelemek üzere Machine Key'e ihtiyacınız olacak.
Bu durumda Blacklist3r modülü geliştirilme aşamasındadır...
.NET 4.5'ten önce, ASP.NET şifrelenmemiş ___VIEWSTATE
_ parametresini kullanıcılarından kabul edebilir ViewStateEncryptionMode
Her Zaman olarak ayarlanmış olsa bile. ASP.NET yalnızca istekteki __VIEWSTATEENCRYPTED
parametresinin varlığını kontrol eder. Bu parametre kaldırılırsa ve şifrelenmemiş yük gönderilirse, yine de işlenir.
Bu nedenle, saldırganlar dosya gezintisi gibi başka bir açık aracılığıyla Machinekey'i bulurlarsa, Case 2'de kullanılan YSoSerial.Net komutu, ViewState serileştirme açığını kullanarak RCE gerçekleştirmek için kullanılabilir.
ViewState serileştirme açığını istismar etmek için istekteki __VIEWSTATEENCRYPTED
parametresini kaldırın, aksi takdirde bir Viewstate MAC doğrulama hatası dönecek ve istismar başarısız olacaktır.
Aşağıdaki parametreyi web.config dosyasına belirterek ASP.NET çerçevesinin kullanımını zorlayabiliriz.
Alternatif olarak, bu, web.config dosyasındaki machineKey
parametresinin içine aşağıdaki seçeneği belirterek yapılabilir.
Öncekilerde olduğu gibi değer şifrelenmiştir. Ardından, geçerli bir yük göndermek için saldırganın anahtara ihtiyacı vardır.
Kullanılan anahtarı bulmak için Blacklist3r(AspDotNetWrapper.exe) kullanmayı deneyebilirsiniz:
IISDirPath ve TargetPagePath için daha ayrıntılı bir açıklama için buraya bakın.
Ya da, Badsecrets ile (bir jeneratör değeri ile):
Geçerli bir Makine anahtarı belirlendikten sonra, bir seri hale getirilmiş yük oluşturmanın bir sonraki adımı YSoSerial.Net kullanmaktır.
Eğer __VIEWSTATEGENERATOR
değerine sahipseniz, bu değeri kullanarak --generator
parametresini kullanmayı deneyebilir ve --path
ve --apppath
parametrelerini hariç tutabilirsiniz.
ViewState deserialization zafiyetinin başarılı bir şekilde istismar edilmesi, kullanıcı adını içeren bir saldırgan kontrolündeki sunucuya dışarıdan bir isteğe yol açacaktır. Bu tür bir istismar, "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET" başlıklı bir kaynakta bulunan bir kanıt konsepti (PoC) ile gösterilmektedir. İstismar sürecinin nasıl çalıştığı ve MachineKey'i tanımlamak için Blacklist3r gibi araçların nasıl kullanılacağı hakkında daha fazla bilgi için sağlanan Başarılı İstismar PoC'sini inceleyebilirsiniz.
ViewStateUserKey özelliği, CSRF saldırısına karşı savunma yapmak için kullanılabilir. Eğer uygulamada böyle bir anahtar tanımlanmışsa ve şimdiye kadar tartışılan yöntemlerle ViewState yükünü oluşturmaya çalışırsak, yük uygulama tarafından işlenmeyecektir. Yükü doğru bir şekilde oluşturmak için bir parametre daha kullanmanız gerekiyor:
Tüm test senaryolarında, eğer ViewState YSoSerial.Net yükü başarıyla çalışıyorsa, sunucu “500 Internal server error” yanıtı verir ve yanıt içeriği “Bu sayfa için durum bilgisi geçersiz ve bozulmuş olabilir” şeklindedir ve OOB isteğini alırız.
Daha fazla bilgi için buraya bakın
Bug bounty ipucu: Intigriti için kayıt olun, hackerlar tarafından, hackerlar için oluşturulmuş premium bir bug bounty platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)