CVE-2020-0688 漏洞复现 | Security @ blog.mkr.im

漏洞信息
漏洞原理
- ASP.NET VIEWSTATE
- Exchange Server安装的默认配置
漏洞环境搭建
漏洞复现过程

漏洞信息#

CVE编号：CVE-2020-0688
登记时间：2019-11-04
漏洞类型：反序列化RCE
NVD漏洞评分：8.8 HIGH
操作系统：Windows Server 2008~2019
漏洞软件：Exchange Server 2010~2019
Shell权限：SYSTEM

漏洞原理#

漏洞的根源是两个，一个是ASP.NET的VIEWSTATE，另一个是Exchange Server安装的默认配置。

ASP.NET VIEWSTATE#

ASP.NET自带的VIEWSTATE功能是为了实现表单填写时，发生错误，页面重新加载后仍能恢复表单内容的功能。VIEWSTATE使用Binary序列化，存储了表单状态等对象信息，通过签名交由客户端存储，减少服务端存储资源消耗的同时，实现了状态的恢复。

.NET、Java和PHP的反序列化是类似的，能够恢复一个上下文中存在的类型实例，并且调用对应的“wakeup”方法。这导致了利用部分启动命令调用的类，比如本次复现中的TextFormattingRunProperties Gadget，执行任意代码。

因此，往往要对任何需要保存至客户端并且传入服务器的序列化内容进行加密和签名，避免反序列化的滥用。

在.NET Framework对应版本安装目录下的Temporary ASP.NET Files目录，会临时存放编译的aspx文件dll。

使用ILSpy可以反编译.NET字节码。发现ecp下的default.aspx文件生成的default_aspx类存放在App_Web_rkzs4hiu.dll文件中。

由此，查看调用至反序列化函数之前的路径。

VIEWSTATE参数触发反序列化的路径如下：

首先，每个ASP.NET的页面进入时，会调用继承的System.Web.UI.Page类的ProcessRequestMain方法：

其中会调用LoadAllState方法：

LoadAllState方法将会调用LoadPageStateFromPersistenceMedium方法：

LoadPageStateFromPersistenceMedium方法将会调用PageStatePersister的get方法获取一个其默认值，然后调用其中的Load方法。

可以看到，当_persister和pageAdapter为null的时候，会返回一个HiddenFieldPageStatePersister。

HiddenFieldPageStatePersister的Load方法最终会通过RequestViewStateString获得__VIEWSTATE Query参数的值，从而调用Util.DeserializeWithAssert进行反序列化。

RequestViewStateString变量的get方法将会对__VIEWSTATE的签名进行认证。

由于Exchange Server的管理面板IIS服务使用SYSTEM账户运行，所以通过反序列化执行命令能够获得SYSTEM权限。

Exchange Server安装的默认配置#

本来VIEWSTATE是安全的，因为进行了签名。但特定版本的Exchange Server在安装时没有随机化生成web.config中的validationKey和validation值为默认一样的值。利用这个Key，通过VIEWSTATE相同的过程生成VIEWSTATE序列化后的值，就能进行RCE。在利用中，使用ysoserial.NET的ViewState插件对该序列化后的值进行生成。