MS10-070 ASP.NET Padding Oracle信息泄露漏洞

    选择打赏方式

1 漏洞描述: ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产生信息,这些信息可用于试图进一步危及受影响系统的安全。 2 漏洞标识符: Bugtraq ID: 43316 CVE: CVE-2010-3332 3 受影响系统 Microsoft .NET Framework 4.0 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 Microsoft .NET Framework 2.0 SP2 Microsoft .NET Framework 1.0 SP3 4 漏洞解决办法: 4.1 临时解决办法: * 启用ASP.NET自定义错误并将所有的错误代码都映射到相同的出错页面。 * 创建包含有通用出错消息的error.html文件并保存到根目录。 4.2 微软补丁: 微软已经为此发布了一个安全公告(MS10-070)以及相应补丁: http://www.microsoft.com/technet ... 10-070.mspx?pf=true 信息收集 目标:www.XXX.biz Ip:180.23x.6x.21x 环境:用扫描工具发现 是个 iis7.5 表示解析漏洞byebye了,整个网站后缀是SHTML,查看源码得知是ASPX 网站,猜想权限应该很大! 思路:1、SQL注入 放弃(有可能存在POST 注入 但是我不会,) 2、找上传地址 查看源码发现有kindeditor的路径(但是后面发现用的是FCK) 3、找后台尝试弱口令 表示没有成功 4、旁站 旁站都是用的同一个程序,放弃! 漏洞扫描 直接上WVS 扫一个高危漏洞没有,今天的主角 这个漏洞利用的最关键的一点就是寻找WebResource.axd,说实话这个看人品的,有时候很好找,右击查看源码在查找一下就可以找到,但有时候你怎么找都找不到,在这里我分享一下我找 WebResource.axd的经验。 1、 一般我查看首页的源码,能有话 你赶快去买彩票,这么好的事都能有,不合理啊!!! 2、 查看后台源码,或者会员登录的网页,查看源码或许有惊喜哦! 3、 上面2个方法都找不到,只能靠工具了,WVS对网站做一个深度全方位的扫描,或许可以找到这个文件的位置,扫描结果中的文件列表显示栏也是可以直接看到WebResource.axd和它的参数和值的,如下: 看到 我们要找的就是参数d的值,如果在源码中看到有其他的参数,不需要理会。复制&前面的一串WebResource.axd?d=VXKB3fkqegYIJXaI5b_q_A2 第二个高危漏洞我们可以忽视它,这个网站目录做的很死,属于误报,压根不存在列目录。 漏洞利用 下载 padBuster.pl Webconfig Bruter.pl(注意把Webconfig Bruter.pl 中间的空格去掉不然你死也不会成功) padBuster.pl.txt (29.43 KB) (下载次数: 19, 2013-9-19 23:55 上传) 下载积分: 金币 -1 Webconfig Bruter.pl.txt (4.18 KB) (下载次数: 19, 2013-9-19 23:56 上传) 下载积分: 金币 -1 找到WebResource.axd参数的值之后,就可以开始利用了。 安装好perl环境,执行: perl.exe e:\padBuster.pl http://www.xxxx.biz/cms/WebResource.axd?d=aLjVFOUQacvgdyNFUithWQ2 aLjVFOUQacvgdyNFUithWQ2 8 -encoding 3 -plaintext "|||~/web.config" 参数说明: 这里的16为每个数据块的字节数,分为8和16,目前还没有什么好的方法判断这个字节数,所以需要大家可以两种都试一下(大多数为16)。 encoding参数有4种,分别是0=Base64, 1=Lower HEX, 2=Upper HEX 3=.NET UrlToken, 4=WebSafe Base64,由于本次测试为asp.net,所以这里我们选择3。 plaintext为想读取内容的文件,本次测试以web.config为例 这里是让我们选择一个相应模式,并且**表示程序推荐的,那么这里就选择程序推荐的2号模式,等几分钟,(有些人或许只出现1没有出现有**的2,这样的话把第一个参数16改成8试试,或者8改成16) 到这里,就拿到了web.config的URL的加密地址。 下面就该上Webconfig Bruter.pl获取完整的访问地址了 执行: perl.exe e:\Webconfig_Bruter.pl http://www.xxx.biz/ScriptResource.axd p_klglqaE5B_ouCiPQTQYgAAAAAAAAAA0 8 还记得前面说的Webconfig Bruter.pl 要去掉空格吗? 不去空格就一直报错!!!!!! 等几分钟,就得到了最终的加密字符串: OK,记好这个加密字符串,使用浏览器访问 http://www.xxx.biz/ScriptResourc ... KI9BNBiAAAAAAAAAAA1 成功了,如预想的一样权限SA 可惜是内网,到这里我就没办法继续了
版权声明:若无特殊注明,本文皆为《 IT盒子 》原创,转载请保留文章出处。
本文链接:MS10-070 ASP.NET Padding Oracle信息泄露漏洞 https://itho.cn/ldqb/16.html
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框

吃奶的力气提交吐槽中...


既然没有吐槽,那就赶紧抢沙发吧!