Exploiting __VIEWSTATE without knowing the secrets
Mwongozo wa tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za malipo lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!
Ni nini ViewState
ViewState hutumika kama mbinu ya msingi katika ASP.NET kudumisha data ya ukurasa na udhibiti kati ya kurasa za wavuti. Wakati wa kurekebisha HTML ya ukurasa, hali ya sasa ya ukurasa na thamani za kuhifadhiwa wakati wa postback zinahifadhiwa katika herufi zilizosimbwa kwa msingi wa base64. Herufi hizi kisha hutiwa katika maeneo ya ViewState yaliyofichwa.
Maelezo ya ViewState yanaweza kuchorwa na mali zifuatazo au mchanganyiko wao:
Base64:
Muundo huu hutumiwa wakati sifa za
EnableViewStateMac
naViewStateEncryptionMode
zote zimewekwa kama uwongo.Base64 + MAC (Message Authentication Code) Imewezeshwa:
Kuwezesha MAC kunafikiwa kwa kuweka sifa ya
EnableViewStateMac
kuwa kweli. Hii hutoa uthibitisho wa uadilifu kwa data ya ViewState.Base64 + Imesimbwa:
Ufichaji unatumika wakati sifa ya
ViewStateEncryptionMode
inawekwa kuwa kweli, ikidumisha usiri wa data ya ViewState.
Kesi za Majaribio
Picha ni jedwali linaloelezea miundo tofauti ya ViewState katika ASP.NET kulingana na toleo la mfumo wa .NET. Hapa kuna muhtasari wa yaliyomo:
Kwa toleo lolote la .NET, wakati MAC na Ufichaji wote wamelemazwa, MachineKey haihitajiki, na hivyo hakuna njia inayofaa ya kuitambua.
Kwa toleo chini ya 4.5, ikiwa MAC imewezeshwa lakini Ufichaji haujafanywa, MachineKey inahitajika. Njia ya kutambua MachineKey inaitwa "Blacklist3r."
Kwa toleo chini ya 4.5, bila kujali ikiwa MAC imewezeshwa au la, ikiwa Ufichaji umewezeshwa, MachineKey inahitajika. Kutambua MachineKey ni kazi ya "Blacklist3r - Maendeleo ya Baadaye."
Kwa toleo 4.5 na zaidi, mchanganyiko wote wa MAC na Ufichaji (iwe wote ni kweli, au moja ni kweli na nyingine ni uwongo) unahitaji MachineKey. MachineKey inaweza kutambuliwa kwa kutumia "Blacklist3r."
Kesi ya Jaribio: 1 – EnableViewStateMac=false na viewStateEncryptionMode=false
Pia ni rahisi kulemaza ViewStateMAC kabisa kwa kuweka funguo ya usajili ya AspNetEnforceViewStateMac
kuwa sifuri katika:
Kutambua Atributi za ViewState
Unaweza jaribu kutambua ikiwa ViewState inalindwa na MAC kwa kuchukua ombi lenye parameter hii na BurpSuite. Ikiwa Mac haikutumika kulinda parameter unaweza kuitumia kwa kutumia YSoSerial.Net
Kesi ya majaribio 1.5 - Kama Kesi ya majaribio 1 lakini kuki ya ViewState haikutumwa na seva
Wabunifu wanaweza kuondoa ViewState isishiriki katika Ombi la HTTP (mtumiaji hataipokea kuki hii). Mtu anaweza kudhani kwamba ikiwa ViewState haipo, utekelezaji wao ni salama kutoka kwa udhaifu wowote unaoweza kutokea na deserialization ya ViewState. Walakini, hilo sio jambo. Ikiwa tunaweza ViewState parameter kwa mwili wa ombi na kutuma mzigo wetu uliosanidiwa kwa kutumia ysoserial, bado tutaweza kufikia utekelezaji wa nambari kama ilivyoonyeshwa katika Kesi 1.
Kesi ya Majaribio: 2 - .Net < 4.5 na EnableViewStateMac=true & ViewStateEncryptionMode=false
Ili kuwezesha ViewState MAC kwa ukurasa maalum tunahitaji kufanya mabadiliko yafuatayo kwenye faili maalum ya aspx:
Tunaweza pia kufanya hivyo kwa maombi ya jumla kwa kuweka kwenye faili ya web.config kama inavyoonyeshwa hapa chini:
Kwa kuwa parameter hulindwa na MAC wakati huu ili kutekeleza shambulizi kwa mafanikio kwanza tunahitaji kutumia Blacklist3r(AspDotNetWrapper.exe) ili kupata ufunguo uliotumiwa.
Badsecrets ni chombo kingine kinachoweza kutambua machineKeys za kujulikana. Imeandikwa kwa Python, hivyo tofauti na Blacklist3r, hakuna tegemezi la Windows. Kwa viewstates za .NET, kuna zana ya "python blacklist3r", ambayo ni njia ya haraka zaidi ya kutumia.
Inaweza kutolewa na viewstate na jenereta moja kwa moja:
Au, inaweza kuunganisha moja kwa moja kwenye URL ya lengo na kujaribu kukata viewstate kutoka kwenye HTML:
Ili kutafuta viewstates zenye kasoro kwa kiwango kikubwa, kwa kushirikiana na uchunguzi wa subdomain, moduli ya badsecrets
BBOT inaweza kutumika:
Ikiwa una bahati na ufunguo unapatikana, unaweza kuendelea na shambulio kwa kutumia YSoSerial.Net:
Katika kesi ambapo parameter _VIEWSTATEGENERATOR
haikutumwa na server huohuo hutahitaji kutoa parameter --generator
lakini hizi:
Kesi ya Majaribio: 3 – .Net < 4.5 na EnableViewStateMac=true/false na ViewStateEncryptionMode=true
Katika hii haijulikani ikiwa parameter imekingwa na MAC. Kisha, thamani labda imefichwa na utahitaji Machine Key kuweza kuficha mzigo wako ili kutumia udhaifu.
Katika kesi hii Blacklist3r moduli iko chini ya maendeleo...
Kabla ya .NET 4.5, ASP.NET inaweza kukubali ___VIEWSTATE
_parameter bila kufichwa kutoka kwa watumiaji hata ikiwa ViewStateEncryptionMode
imewekwa kuwa Always. ASP.NET inafanya ukaguzi wa uwepo wa parameter ya __VIEWSTATEENCRYPTED
katika ombi. Ikiwa mtu ataondoa parameter hii, na kutuma mzigo usiofichwa, bado utashughulikiwa.
Hivyo basi ikiwa wachomaji wanapata njia ya kupata Machinekey kupitia udhaifu mwingine kama vile upitishaji wa faili, YSoSerial.Net amri iliyotumiwa katika Kesi 2, inaweza kutumika kufanya RCE kwa kutumia udhaifu wa deserialization ya ViewState.
Ondoa parameter ya
__VIEWSTATEENCRYPTED
kutoka kwa ombi ili kutumia udhaifu wa deserialization ya ViewState, vinginevyo itarudisha kosa la uthibitisho wa Viewstate MAC na jaribio litashindwa.
Kesi ya Majaribio: 4 – .Net >= 4.5 na EnableViewStateMac=true/false na ViewStateEncryptionMode=true/false isipokuwa sifa zote mbili kuwa za uwongo
Tunaweza kulazimisha matumizi ya mfumo wa ASP.NET kwa kutaja parameter ifuatayo ndani ya faili ya web.config kama inavyoonyeshwa hapa chini.
Vinginevyo, hii inaweza kufanywa kwa kufafanua chaguo lifuatalo ndani ya paramita ya machineKey
ya faili ya web.config.
Kama ilivyokuwa hapo awali thamani imefichwa. Kisha, ili kutuma mzigo sahihi, muhalifu anahitaji ufunguo.
Unaweza kujaribu kutumia Blacklist3r(AspDotNetWrapper.exe) kupata ufunguo unaotumiwa:
Kwa maelezo zaidi kuhusu IISDirPath na TargetPagePath rejea hapa
Au, kwa kutumia Badsecrets (na thamani ya jenereta):
Baada ya kutambua funguo halali ya Mashine, hatua inayofuata ni kuzalisha mzigo uliosimbwa kwa kutumia YSoSerial.Net
Ikiwa una thamani ya __VIEWSTATEGENERATOR
unaweza jaribu kutumia parameter --generator
na thamani hiyo na punguza paramita --path
na --apppath
Udanganyifu mafanikio wa udhaifu wa deserialization wa ViewState utasababisha ombi la nje ya mpangilio kwenye seva inayodhibitiwa na mshambuliaji, ambayo inajumuisha jina la mtumiaji. Aina hii ya udanganyifu inadhihirishwa katika uthibitisho wa dhana (PoC) ambao unaweza kupatikana kupitia rasilimali iliyo na jina "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET". Kwa maelezo zaidi juu ya jinsi mchakato wa udanganyifu unavyofanya kazi na jinsi ya kutumia zana kama Blacklist3r kwa kutambua MachineKey, unaweza kupitia PoC ya Udanganyifu Mafanikio.
Kesi ya Majaribio 6 – ViewStateUserKeys inatumika
Mali ya ViewStateUserKey inaweza kutumika kwa kujilinda dhidi ya mshambulizi wa CSRF. Ikiwa funguo kama hizo zimefafanuliwa katika programu na jaribu kuzalisha mzigo wa ViewState na njia zilizojadiliwa hadi sasa, mzigo hautasindika na programu. Unahitaji kutumia paramita moja zaidi ili kuunda kwa usahihi mzigo:
Matokeo ya Utekaji Mafanikio
Kwa kila kesi ya majaribio, ikiwa mzigo wa ViewState wa YSoSerial.Net unafanya kazi kwa mafanikio basi server itajibu na "Hitilafu ya seva ya ndani 500" ikiwa na maudhui ya jibu "Taarifa ya hali ni batili kwa ukurasa huu na inaweza kuwa imeharibika" na tutapata ombi la OOB.
Angalia kwa taarifa zaidi hapa
Marejeo
Mwongozo wa tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za malipo lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!
Last updated