Exploiting __VIEWSTATE without knowing the secrets
バグバウンティのヒント:ハッカーによって作成されたプレミアムバグバウンティプラットフォームであるIntigritiにサインアップしてください!今すぐhttps://go.intigriti.com/hacktricksに参加して、最大**$100,000**のバウンティを獲得し始めましょう!
ViewStateとは
ViewStateは、ASP.NETにおけるページとコントロールデータをウェブページ間で維持するためのデフォルトメカニズムとして機能します。ページのHTMLがレンダリングされる際、ページの現在の状態とポストバック中に保持する値は、base64でエンコードされた文字列にシリアライズされます。これらの文字列は、非表示のViewStateフィールドに配置されます。
ViewState情報は、次のプロパティまたはそれらの組み合わせによって特徴付けられます:
Base64:
この形式は、
EnableViewStateMac
およびViewStateEncryptionMode
属性がfalseに設定されている場合に使用されます。Base64 + MAC(Message Authentication Code)有効:
MACの有効化は、
EnableViewStateMac
属性をtrueに設定することで達成されます。これにより、ViewStateデータの整合性検証が提供されます。Base64 + 暗号化:
暗号化は、
ViewStateEncryptionMode
属性がtrueに設定されている場合に適用され、ViewStateデータの機密性が確保されます。
テストケース
画像は、.NETフレームワークバージョンに基づいてASP.NETでのViewStateの異なる構成を詳細に示した表です。以下は、内容の要約です:
.NETの任意のバージョンについて、MACと暗号化の両方が無効になっている場合、MachineKeyは必要なく、したがってそれを特定するための適用可能な方法はありません。
4.5未満のバージョンでは、MACが有効であっても暗号化が無効な場合、MachineKeyが必要です。MachineKeyを特定する方法は、「Blacklist3r」と呼ばれます。
4.5未満のバージョンでは、MACが有効であるかどうかに関係なく、暗号化が有効な場合、MachineKeyが必要です。MachineKeyの特定は、「Blacklist3r - Future Development」の課題です。
4.5以上のバージョンでは、MACと暗号化のすべての組み合わせ(両方がtrueであるか、1つがtrueで他がfalseであるか)にはMachineKeyが必要です。「Blacklist3r」を使用してMachineKeyを特定できます。
テストケース:1 – EnableViewStateMac=false および viewStateEncryptionMode=false
また、AspNetEnforceViewStateMac
レジストリキーをゼロに設定することで、ViewStateMACを完全に無効にすることも可能です。
ViewState属性の特定
BurpSuiteを使用して、このパラメータを含むリクエストをキャプチャして、ViewStateがMACで保護されているかどうかを特定できます。MACが使用されていない場合は、YSoSerial.Netを使用してそれを悪用することができます。
テストケース 1.5 – テストケース 1と同様だが、サーバーからViewStateクッキーが送信されない
開発者は、ViewStateをHTTPリクエストの一部にならないようにすることができます(ユーザーはこのクッキーを受け取らない)。 ViewStateが存在しない場合、ViewStateの逆シリアル化に起因する潜在的な脆弱性から実装が安全であると仮定するかもしれません。 しかし、それは事実ではありません。リクエストボディにViewStateパラメータを追加し、ysoserialを使用して作成したシリアル化ペイロードを送信すると、ケース1で示されているように、コード実行を達成することができます。
テストケース: 2 – .Net < 4.5 および EnableViewStateMac=true & ViewStateEncryptionMode=false
特定のページでViewState MACを有効にするには、特定のaspxファイルで以下の変更を行う必要があります:
web.configファイルに以下に示すように設定することで、全体的なアプリケーションに対しても行うことができます。
攻撃を成功させるためには、まず使用されているキーを取得する必要があります。
Blacklist3r(AspDotNetWrapper.exe) を使用して、使用されているキーを見つけることができます。
Badsecretsは、既知のmachineKeysを特定できる別のツールです。Pythonで書かれているため、Blacklist3rとは異なり、Windowsに依存しません。.NETのviewstatesに対しては、「python blacklist3r」というユーティリティがあり、これが最も簡単な使用方法です。
ビューステートとジェネレータを直接指定することもできます:
または、対象のURLに直接接続し、HTMLからviewstateを取り出そうとすることができます。
大規模で脆弱なviewstatesを検索するために、サブドメインの列挙と組み合わせて、badsecrets
BBOT モジュールを使用できます:
運が良ければ、キーが見つかった場合は、YSoSerial.Net: を使用して攻撃を続行できます。
場合によっては、サーバーから _VIEWSTATEGENERATOR
パラメータが送信されない場合、--generator
パラメータを指定する必要はありませんが、次のパラメータが必要です:
テストケース: 3 – .Net < 4.5 および EnableViewStateMac=true/false および ViewStateEncryptionMode=true
この場合、パラメータがMACで保護されているかどうかはわかりません。そのため、値はおそらく暗号化されており、脆弱性を悪用するためにマシンキーが必要です。
この場合、 Blacklist3r モジュールが開発中です...
.NET 4.5より前、ASP.NETは、ViewStateEncryptionMode
が Always に設定されていても、ユーザーからの___VIEWSTATE
_パラメータを暗号化されていない状態で受け入れることができます。ASP.NETは、リクエスト内の __VIEWSTATEENCRYPTED
パラメータの存在のみを確認します。このパラメータを削除し、暗号化されていないペイロードを送信すると、それでも処理されます。
したがって、攻撃者がファイルトラバーサルなどの他の脆弱性を介してマシンキーを取得する方法を見つけると、Case 2 で使用された YSoSerial.Net コマンドを使用して、ViewState逆シリアル化の脆弱性を利用してRCEを実行できます。
ViewState逆シリアル化の脆弱性を悪用するには、リクエストから
__VIEWSTATEENCRYPTED
パラメータを削除します。そうしないと、Viewstate MAC検証エラーが返され、脆弱性を悪用できません。
テストケース: 4 – .Net >= 4.5 および EnableViewStateMac=true/false および ViewStateEncryptionMode=true/false ただし、両方の属性がfalseに設定されている場合
以下に示すように、web.configファイル内で以下のパラメータを指定することで、ASP.NETフレームワークの使用を強制できます。
代わりに、次のオプションをweb.configファイルのmachineKey
パラメータ内に指定することで行うことができます。
前述の通り、値は暗号化されています。 そのため、有効なペイロードを送信するには、攻撃者が鍵が必要です。
Blacklist3r(AspDotNetWrapper.exe) を使用して、使用されている鍵を見つけることができます。
IISDirPathとTargetPagePathの詳細な説明については、こちらを参照してください。
または、Badsecrets(ジェネレータ値を使用):
有効なマシンキーが特定されたら、次のステップはYSoSerial.Netを使用してシリアライズされたペイロードを生成することです
もし__VIEWSTATEGENERATOR
の値を持っている場合、その値を使用して--generator
パラメータを使用し、パラメータ--path
と--apppath
を省略することができます。
ViewState逆シリアル化の脆弱性を成功裏に悪用すると、ユーザー名を含む攻撃者が制御するサーバーに対してアウト・オブ・バンド・リクエストが送信されます。この種のエクスプロイトは、「Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET」というリソースを通じて見つけることができるプルーフ・オブ・コンセプト(PoC)で示されています。エクスプロイトプロセスの動作方法や、MachineKeyを特定するためにBlacklist3rなどのツールをどのように利用するかの詳細については、提供された成功したエクスプロイトのPoCを参照してください。
テストケース6 – ViewStateUserKeysが使用されている
ViewStateUserKeyプロパティはCSRF攻撃に対抗するために使用できます。アプリケーションでこのようなキーが定義されている場合、これまでに議論された方法でViewStateペイロードを生成しようとすると、アプリケーションによってペイロードが処理されないでしょう。 正しくペイロードを作成するためには、もう1つのパラメータを使用する必要があります:
成功した攻撃の結果
すべてのテストケースにおいて、ViewState YSoSerial.Net ペイロードが成功した場合、サーバーは「500 Internal server error」という応答を返し、「The state information is invalid for this page and might be corrupted」という応答コンテンツが表示され、OOBリクエストを取得します。
詳細はこちら
参考文献
バグバウンティのヒント: Intigritiにサインアップしてください。これは、ハッカーによって作成されたプレミアムバグバウンティプラットフォームです!https://go.intigriti.com/hacktricks で今すぐ参加し、最大**$100,000**のバウンティを獲得しましょう!
Last updated