记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

菜鸟实战MS10-070 ASP.NET Padding Oracle信息泄露漏洞

2013-09-24 13:15

本帖最后由 w515426690 于 2013-9-19 22:37 编辑

今天中秋,满大街的情侣,让我这等屌丝难过,本人小菜鸟在这里做个文章支持法客论坛的分享。

原因:好不容易进来一家安全公司,师兄给我一个项目做做,我等小菜表现的时候到了,誓死要拿下。
科普链接:http://www.f4ck.org/article-1565-1.html
MS10-070 ASP.NET Padding Oracle信息泄露漏洞
1         漏洞描述:
ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产生信息,这些信息可用于试图进一步危及受影响系统的安全。
2         漏洞标识符:
Bugtraq ID: 43316
CVE: CVE-2010-3332
3         受影响系统
Microsoft .NET Framework 4.0
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 1.0 SP3
4         漏洞解决办法:
4.1        临时解决办法:
* 启用ASP.NET自定义错误并将所有的错误代码都映射到相同的出错页面。
* 创建包含有通用出错消息的error.html文件并保存到根目录。
4.2        微软补丁:
微软已经为此发布了一个安全公告(MS10-070)以及相应补丁:
http://www.microsoft.com/technet … 10-070.mspx?pf=true

信息收集
目标:www.XXX.biz
Ip:180.23x.6x.21x
环境:用扫描工具发现 是个 iis7.5 表示解析漏洞byebye了,整个网站后缀是SHTML,查看源码得知是ASPX 网站,猜想权限应该很大!
<ignore_js_op>1.jpg
思路:1、SQL注入 放弃(有可能存在POST 注入 但是我不会,)
2、找上传地址  查看源码发现有kindeditor的路径(但是后面发现用的是FCK)
3、找后台尝试弱口令  表示没有成功
4、旁站    旁站都是用的同一个程序,放弃!

漏洞扫描
直接上WVS 扫,结果如下
<ignore_js_op>2.jpg
看见第一个高危漏洞没有,今天的主角
这个漏洞利用的最关键的一点就是寻找WebResource.axd,说实话这个看人品的,有时候很好找,右击查看源码在查找一下就可以找到,但有时候你怎么找都找不到,在这里我分享一下我找 WebResource.axd的经验。
1、        一般我查看首页的源码,能有话 你赶快去买彩票,这么好的事都能有,不合理啊!!!
2、        查看后台源码,或者会员登录的网页,查看源码或许有惊喜哦!
<ignore_js_op>3.jpg
<ignore_js_op>4.jpg
3、        上面2个方法都找不到,只能靠工具了,WVS对网站做一个深度全方位的扫描,或许可以找到这个文件的位置,扫描结果中的文件列表显示栏也是可以直接看到WebResource.axd和它的参数和值的,如下:
<ignore_js_op>5.jpg

看到
<script src=”/WebResource.axd?d=VXKB3fkqegYIJXaI5b_q_A2&amp;t=633802945995006876″ type=”text/javascript”></script>

我们要找的就是参数d的值,如果在源码中看到有其他的参数,不需要理会。复制&前面的一串WebResource.axd?d=VXKB3fkqegYIJXaI5b_q_A2
第二个高危漏洞我们可以忽视它,这个网站目录做的很死,属于误报,压根不存在列目录。

漏洞利用
利用工具在http://www.f4ck.org/article-1565-1.html
下载 padBuster.pl Webconfig Bruter.pl(注意把Webconfig Bruter.pl 中间的空格去掉不然你死也不会成功)
找到WebResource.axd参数的值之后,就可以开始利用了。

安装好perl环境,执行:
perl.exe e:\padBuster.pl http://www.xxxx.biz/cms/WebResource.axd?d=aLjVFOUQacvgdyNFUithWQ2 aLjVFOUQacvgdyNFUithWQ2 8 -encoding 3 -plaintext “|||~/web.config”

参数说明:
这里的16为每个数据块的字节数,分为8和16,目前还没有什么好的方法判断这个字节数,所以需要大家可以两种都试一下(大多数为16)。
encoding参数有4种,分别是0=Base64, 1=Lower HEX, 2=Upper HEX 3=.NET UrlToken, 4=WebSafe Base64,由于本次测试为asp.net,所以这里我们选择3。
plaintext为想读取内容的文件,本次测试以web.config为例

<ignore_js_op>6.jpg
这里是让我们选择一个相应模式,并且**表示程序推荐的,那么这里就选择程序推荐的2号模式,等几分钟,(有些人或许只出现1没有出现有**的2,这样的话把第一个参数16改成8试试,或者8改成16)
<ignore_js_op>7.jpg
到这里,就拿到了web.config的URL的加密地址。

下面就该上Webconfig Bruter.pl获取完整的访问地址了
执行:
perl.exe e:\Webconfig_Bruter.pl http://www.xxx.biz/ScriptResource.axd p_klglqaE5B_ouCiPQTQYgAAAAAAAAAA0 8
还记得前面说的Webconfig Bruter.pl 要去掉空格吗? 不去空格就一直报错!!!!!!
<ignore_js_op>8.jpg
等几分钟,就得到了最终的加密字符串:
OK,记好这个加密字符串,使用浏览器访问
http://www.xxx.biz/ScriptResourc … KI9BNBiAAAAAAAAAAA1
<ignore_js_op>9.jpg
成功了,如预想的一样权限SA 可惜是内网,到这里我就没办法继续了,交任务给师兄了,让他来搞。。呵呵。。。

  • » 转载保留版权:Panni_007 Security
  • » 本文链接地址:菜鸟实战MS10-070 ASP.NET Padding Oracle信息泄露漏洞
  • » 如果喜欢可以:点此订阅本站
  • 53d4e0d893227499f659c9d8412ed85a
    知识来源: panni007.com/2013/09/24/1460.html

    阅读:229482 | 评论:0 | 标签:黑客攻防 漏洞

    想收藏或者和大家分享这篇好文章→复制链接地址

    “菜鸟实战MS10-070 ASP.NET Padding Oracle信息泄露漏洞”共有0条留言

    发表评论

    姓名:

    邮箱:

    网址:

    验证码:

    公告

    关注公众号hackdig,学习最新黑客技术

    推广

    工具

    标签云