专栏首页字节脉搏实验室有关VIEWSTATE exploit在实战中的应用问题

有关VIEWSTATE exploit在实战中的应用问题

文章源自【字节脉搏社区】-字节脉搏实验室

作者-叶子

扫描下方二维码进入社区:

相信大家都晓得过 CVE-2020-0688 ,由于部署完Exchange Server后使用了硬编码的 Machine Key ,从而导致篡改 ASP.NET Form 中的 VIEWSTATE 参数值打反序列化 RCE 。

复现起来确实很爽,但是实战用起来,确实也很拉跨。

比如说,对面 ban 掉了对外连接;比如说, web 目录不可写;再比如说,可写,但是对方会自动复原文件。

那么如何解决这些问题呢?

弯弯的一个师傅贴了文章,利用另一个 ActivitySurrogateSelectorFromFile gadget,它会call 一下 Assembly.Load 完成动态载入 .NET 组件,相当于我们可以在与aspx相同的环境下实现 .NET 任意代码执行,然后.NET中System.Web.HttpContext.Current可以获得http请求上下文,相当于可以即时写一个webshell,而这个webshell是无档案的。

如何操作呢?

使用以下命令即可:

这几个dll可以自己windows装一个.NET Framework在C盘找,或者直接从网上下。

ExploitClass.cs用下面这个可行

其中 Server.ClearError() 用来 stack 中记录的错误, context.Response.End() 来结束请求并回显,避免了后面可能出现的报错导致无法回显。POST 发送这个恶意的 VIEWSTATE 即可

然而有些服务器在gadget上打了微软的patch,返回时会报500,可以使用下面产生的VIEWSTATE,

它会使 DisableActivitySurrogateSelectorTypeCheck 变为 true

随后再发送第一个 VIEWSTATE 应该就没有问题了,再有问题建议自己本机搭建相同MachineKey环境或者干脆放弃。

原理参考:

https://silentbreaksecurity.com/re-animating-activitysurrogateselector/

可以拿赵师傅出的一道题看看,[BJDCTF 2nd]EasyAspDotNet:https://www.zhaoj.in/read-6497.html

HITCON 2018也提到了类似的问题 https://xz.aliyun.com/t/3019

PS:希望c.php没事

本文分享自微信公众号 - 字节脉搏实验室(zijiemaiboshiyanshi),作者:叶子

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-08-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CTF靶场搭建-H1ve

    之前一直在ctf官网或者一些其他的平台玩ctf,用大佬集成好的环境练习。因为学校需要,就用自己会的知识利用docker搭建CTFD。

    字节脉搏实验室
  • 简单数字图片验证码的生成及识别

    网站上的验证码的作用是保护网站安全,一般网站都要通过验证码来防止机器大规模注册,机器暴力破解数据密码等危害。

    字节脉搏实验室
  • HTB靶机-base实战分享

    之后准备长期更新HTB系列,由易到难,开了VIP,所有靶机的思路都会更新,让大家尽可能多的学习到挖洞技巧,请大家持续关注咱们的微信公众号,字节脉搏实验室。

    字节脉搏实验室
  • https协议配置

    前言:https协议配置,一般用于针对政府部门的终端有网络防火墙、网络过滤器等,使系统中的一些请求被拦截(劫持),原因一般为在请求头中有存在敏感信息,被网络过滤...

    陈哈哈
  • 数据库监控——mymon 原

    安装和配置(前提是已经安装Open-falcon监控系统): https://github.com/open-falcon/mymon#installatio...

    阿dai学长
  • 破解美团加密参数_token--------五

    大家如果百度过的话,应该关于美团token破解的挺多的,但好多都一样,CSDN都是复制粘贴的,也不是很详细,今天我就说详细一点,当然再说一遍,大神绕过。

    andrew_a
  • 将 WinForms 应用从 .NET Core 3.0 升级到 3.1

    我作为社区里的“拖控件之王”,拖控件贼心不死,有时候会维护一些老项目,其中包括一个2004年的WinForms 软件。9月份的时候我曾经将它迁移到了 .NET ...

    Edi Wang
  • CVE-2018-1335 Apache Tika 命令注入漏洞复现

    本文将介绍的是Apache tika-server命令注入漏洞到实现攻击的一系列步骤。该漏洞编号为CVE-2018-1335。

    墙角睡大觉
  • 一个风格诡异的ABAP学习网站

    Jerry Wang
  • FPGA/ASIC笔试面试题集锦(1)知识点高频复现练习题

    本文其实就是整合了一下去年秋招时总结的笔试题或者各大平台的练习题,只不过去年由于边笔试面试边总结,比较粗糙,这里再次整理润色一下,前人栽树,方便后人乘凉!注:个...

    Reborn Lee

扫码关注云+社区

领取腾讯云代金券