Security

ASP.NET / IIS Security

1MB
V.Kochetkov_breaking_ASP.NET.pdf
pdf

Notes

Cookieless session

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: https://t.me/webpwn/302

Π’ ASP.NET Π΅ΡΡ‚ΡŒ удобная ΠΎΠ»Π΄ΡΠΊΡƒΠ»ΡŒΠ½Π°Ρ Ρ„ΠΈΡ‡Π° - cookieless session. Она ΠΎΡΡ‚Π°Π»Π°ΡΡŒ Π΅Ρ‰Ρ‘ с Ρ‚Π΅Ρ… Π²Ρ€Π΅ΠΌΡ‘Π½, ΠΊΠΎΠ³Π΄Π° ΠΊΡƒΠΊΠΈ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π»ΠΈΡΡŒ Π½Π΅ всСми Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°ΠΌΠΈ ΠΈ сСссию ΠΏΡ€ΠΈΡ…ΠΎΠ΄ΠΈΠ»ΠΎΡΡŒ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Ρ‚ΡŒ Π²Π½ΡƒΡ‚Ρ€ΠΈ URL.

НапримСр:

http://www.example.com/(S(lit3py55t21z5v55vlm25s55))/default.aspx

ΠŸΡ€ΠΈ использовании Control.ResolveUrl ΠΌΠ΅Ρ‚ΠΎΠ΄Π°, это Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ выводится Π±Π΅Π· ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ энкодинга символов, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π΄Π°Π²Π°Ρ‚ΡŒ Π½Π°ΠΌ XSS-ΠΊΡƒ:

<script src="<%= ResolveUrl("~/Script.js") %>"></script> 
+
http://example.com/(A(%22onerror=%22alert`1`%22))/default.aspx

 ->

 <script src="/(A("onerror="alert`1"))/Script.js"></script>

Π‘ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΎΠ± этой особСнности ΠΈ эксплуатации ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π’Π£Π’

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, эту Ρ„ΠΈΡ‡Ρƒ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для ΠΎΠ±Ρ…ΠΎΠ΄Π° ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠΉ Π½Π° рСвСрс прокси ΠΊ Π°Π΄ΠΌΠΈΠ½ΠΊΠ΅ прилоТСния бэкэнда (всё Ρ‡Ρ‚ΠΎ начинаСтся с β€œ/admin”), Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€:

http://victim.com/admin - 403
http://victim.com/(A(ABCD))/admin - 200

Short Names (8.3 convention; Tricks with ~1 in Windows)

Если Π·Π½Π°Π΅ΠΌ ΠΏΠ΅Ρ€Π²Ρ‹Π΅ 6 символов Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ ΠΈΠ»ΠΈ Ρ„Π°ΠΉΠ»Π°, Ρ‚ΠΎ ΠΎΡΡ‚Π°Π²ΡˆΡƒΡŽΡΡ ΠΌΠΎΠΆΠ΅ΠΌ Π·Π°ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Π½Π° ~1

Π‘ΠΊΠ°Π½Π΅Ρ€ для IIS: https://github.com/irsdl/iis-shortname-scanner

PreviousHello worldNextPerl

Last updated