引言一个被严重低估的配置项正在成为企业内网的“万能钥匙”在ASP.NET应用的安全运维中machineKey大概是最容易被忽视的配置项之一。它不像SQL注入那样频频登上安全头条也不像反序列化漏洞那样自带“高危”光环。但正是这个藏在web.config角落里的密钥配置正在成为攻击者突破企业内网最趁手的武器。2025年2月微软威胁情报团队公开警告已识别出超过3000个公开的ASP.NET machineKey这些密钥都可能被用于ViewState代码注入攻击。一个月后Gladinet CentreStack的硬编码machineKey漏洞CVE-2025-30406被确认已在野利用。进入2026年CVE-2026-26335和CVE-2026-5426相继披露硬编码machineKey问题不仅没有收敛反而呈现出跨产品、跨版本的蔓延趋势。这不是ASP.NET框架本身的安全缺陷而是开发者和管理员在密钥管理上的系统性失守。本文将深入剖析硬编码machineKey如何成为ViewState反序列化RCE的罪魁祸首通过近三个月的真实漏洞案例揭示这一反面教材背后的技术本质与防护之道。一、问题本质machineKey是什么为什么它如此关键1.1 machineKey的双重使命在ASP.NET Web Forms中machineKey承担着两个至关重要的安全职责验证Validation通过validationKey为ViewState数据生成消息认证码MAC确保数据在客户端与服务器之间传输时未被篡改。ASP.NET运行时收到POST请求后会使用相同的validationKey重新计算MAC值并与请求中的值比对——匹配则通过不匹配则拒绝。加密Encryption通过decryptionKey对ViewState数据进行加密防止敏感信息在传输过程中被窃取或泄露。这两个密钥共同构成了ASP.NET ViewState安全机制的信任锚点。一旦攻击者掌握了这两把钥匙就能伪造任意ViewState payload让服务器无条件信任并执行。1.2 典型的machineKey配置一个标准的web.config中的machineKey配置如下system.webmachineKeyvalidationKey[64位十六进制字符串]decryptionKey[32位十六进制字符串]validationHMACSHA256decryptionAES//system.webvalidationKey长度为64字节128个十六进制字符decryptionKey长度为32字节64个十六进制字符。根据美国国防部信息系统局DISA发布的IIS 10.0 STIG安全技术实施指南生产环境应使用HMACSHA256或更强的验证算法。1.3 硬编码的致命诱惑问题出在哪里开发者为了图省事直接把官方文档或开源示例中的密钥复制粘贴到生产环境。根据微软2025年2月的安全公告攻击者利用公开的ASP.NET machineKey进行ViewState代码注入攻击这些密钥广泛存在于公开的代码仓库、技术文档和论坛中。以往已知的ViewState代码注入攻击多使用从暗网论坛购买的被盗密钥而这些公开的密钥存在于多个代码库中开发者可能直接将其复制到代码中而未进行修改因此风险更高。二、真实案例2025-2026年硬编码machineKey漏洞全景近三个月内安全社区披露了多起因硬编码machineKey导致的严重漏洞。以下是几个最具代表性的案例2.1 CVE-2026-26335Calero VeraSMART的静态密钥之殇披露时间2026年2月13日影响产品Calero VeraSMART 2022 R1之前的所有版本漏洞描述Calero VeraSMART使用静态的ASP.NET/IIS machineKey值这些值硬编码在C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config中。攻击者一旦获取这些密钥只需读取该配置文件即可构造合法的ASP.NET ViewState payload绕过完整性验证在IIS应用程序上下文中实现服务器端反序列化和远程代码执行。严重程度CVSS v4.0评分为CRITICAL严重技术分析VulDB分析团队指出该漏洞属于CWE-327使用破损或有风险的加密算法和CWE-502不可信数据的反序列化。静态machineKey意味着一旦被泄露密钥将永久可用直到手动更改造成长期安全风险。攻击者可利用被攻陷的Web应用进行横向移动、访问敏感数据并建立持久化访问点。2.2 CVE-2026-5426KnowledgeDeliver的“一钥通天下”披露时间2026年2月24日影响产品Digital Knowledge KnowledgeDeliver 2026年2月24日之前的所有部署漏洞描述该漏洞源于Digital Knowledge KnowledgeDeliver安装程序中使用的静态ASP.NET/IIS machineKey值。由于密钥是硬编码的攻击者可以伪造已签名的ViewState payload绕过框架验证注入恶意对象并被应用程序反序列化。严重程度CVSS v3.1评分9.1严重攻击路径OpenCVE的分析指出攻击者无需认证即可向任何接受ViewState的端点发送恶意payload绕过完整性检查并触发任意代码执行。受影响版本统一使用相同的machineKey意味着攻破一个实例就能获得所有实例的“万能钥匙”。2.3 CVE-2025-30406Gladinet CentreStack的在野利用披露时间2025年4月3日CISA于4月8日将其加入已知被利用漏洞目录影响产品Gladinet CentreStack 16.1.10296.56315及之前版本修复于16.4.10315.56368漏洞描述CentreStack门户的安装程序使用了硬编码的validationKey和decryptionKey。所有由该版本安装程序创建的实例使用相同的密钥。攻击者一旦知晓这些密钥即可通过众所周知的方法在服务器上远程执行任意代码。严重程度CVSS v3.1评分9.8严重在野利用该漏洞已于2025年3月在野被利用。CISA要求联邦机构在2025年4月29日前完成修复或停止使用该产品。Tenable的通报特别指出CentreStack管理员可以手动删除portal\web.config中定义的machineKey作为临时缓解措施。2.4 CVE-2025-53690Sitecore十年旧文档埋下的雷披露时间2025年9月4日CISA将其加入KEV目录影响产品Sitecore Experience Manager (XM)、Experience Platform (XP) 9.0及更早版本漏洞描述该漏洞由2017年前的Sitecore官方指南中包含的示例ASP.NET machineKey导致。部分客户在生产环境中直接复用了这些示例密钥。攻击者利用公开的示例密钥构造恶意__VIEWSTATEpayload绕过验证实现RCE。严重程度CVSS v3.1评分9.0严重攻击活动Mandiant研究人员发现威胁行为者利用该漏洞部署了WeepSteel侦察型后门。攻击链包括以/sitecore/blocked.aspx端点为入口该端点包含未经验证的ViewState字段以IIS NETWORK SERVICE账户权限执行RCE部署Earthworm隧道代理、Dwagent远程访问工具创建本地管理员账户、转储SAM和SYSTEM凭据2.5 CVE-2025-53770ToolShellSharePoint的连锁反应披露时间2025年7月19日影响产品Microsoft SharePoint Server 2016、2019及Subscription Edition漏洞描述ToolShell利用链包含两个漏洞——CVE-2025-53771Referer头欺骗绕过认证和CVE-2025-53770ViewState反序列化RCE。攻击者通过/_layouts/15/ToolPane.aspx端点注入恶意payload。严重程度CVSS评分9.8严重关键转折ToolShell的真正杀伤力不在于初始入侵而在于入侵后的密钥窃取。攻击者部署web shell后从配置文件中dump出ValidationKey和DecryptionKey。拿到这些密钥后攻击者可以在系统打补丁后依然保持持久访问因为静态密钥没有被轮换。SecureW2的分析指出“静态秘密一旦泄露就变成了攻击者的万能钥匙”。三、攻击手法解剖从硬编码密钥到远程代码执行3.1 完整的攻击链第一阶段密钥获取攻击者获取硬编码machineKey的途径包括读取公开的web.config文件如GitHub泄露、目录遍历漏洞利用已知漏洞如ToolShell从服务器内存或配置文件中提取直接从官方文档或开源示例中复制如Sitecore案例暴力破解弱密钥使用ViewState-Cracker等工具第二阶段Payload构造攻击者使用开源工具ysoserial.net生成恶意ViewState payload。该工具支持多种.NET反序列化gadget链可将任意RCE payload封装为合法的ViewState对象。# 使用ysoserial.net生成恶意ViewState payloadysoserial.exe-pViewState-gTextFormattingRunProperties-ccalc.exe\--validationkey[泄露的validationKey]\--validationalgHMACSHA256\--decryptionkey[泄露的decryptionKey]\--decryptionalgAES第三阶段Payload投递攻击者通过HTTP POST请求将恶意__VIEWSTATE参数发送至目标服务器。由于payload使用正确的密钥签名ASP.NET运行时会将其视为合法请求解密、验证MAC后反序列化执行。第四阶段后渗透根据Kudelski Security在2025年6月的一次应急响应案例攻击者利用公开machineKey实现RCE后立即部署了Godzilla内存Webshell和Cobalt Strike后渗透框架。Godzilla支持命令执行和Shellcode注入为攻击者提供对受陷环境的完整控制。3.2 为什么ViewState反序列化如此危险.NET反序列化攻击的核心是“gadget链”——即应用程序或.NET框架中已存在的类在反序列化过程中会执行特定代码。攻击者将恶意对象序列化后嵌入ViewState服务器反序列化时触发gadget链的执行。ViewState的特殊之处在于默认启用ASP.NET Web Forms默认使用ViewState无需认证ViewState可在未认证的端点被处理信任绑定一旦MAC验证通过服务器完全信任payload内容当machineKey被硬编码或泄露ViewState就从安全机制变成了攻击通道。四、竞品对比不同技术栈的密钥管理实践将ASP.NET的machineKey管理与其他主流技术栈对比更能看清问题的本质技术栈密钥管理机制默认行为安全风险ASP.NET machineKey手动配置在web.config中无默认密钥需开发者生成高风险依赖人工操作易硬编码ASP.NET Core Data Protection自动生成并持久化密钥每台机器自动生成唯一密钥低风险自动化程度高JWT (各语言实现)密钥可配置通常从环境变量读取无默认密钥中风险依赖环境变量安全Spring Boot (Java)密钥从配置文件或环境变量读取无默认密钥中风险配置文件需加密Django (Python)SECRET_KEY自动生成存储在settings.py自动生成随机密钥低风险生成自动化Rails (Ruby)secret_key_base自动生成自动生成随机密钥低风险生成自动化ASP.NET machineKey的核心问题是没有“自动生成唯一密钥”的默认行为。开发者必须主动生成并配置而这个“主动”环节恰恰成为安全失效的高发区。根据微软2025年2月的统计已识别出超过3000个公开的ASP.NET machineKey。相比之下ASP.NET Core从3.0开始默认使用自动生成的密钥并存储在%LOCALAPPDATA%中极少出现硬编码问题——尽管迁移到ASP.NET Core并非对所有遗留应用可行。正如CIRT.GY在2025年2月的分析中指出“这些攻击利用在公开仓库和文档中发现的静态validationKey和decryptionKey值在受陷的IIS Web服务器上执行远程代码”。五、生态工具攻击与防御的军备竞赛5.1 攻击工具链ysoserial.net目前最流行的.NET反序列化payload生成工具支持ViewState、LosFormatter、ObjectStateFormatter等多种格式化器。GitHub上已有公开的POC代码。ViewState-Cracker开源的BurpSuite插件可自动提取ViewState数据、检测无签名ViewState、通过字典爆破machineKey。这大大降低了攻击门槛。Godzilla中国黑客团队开发的后渗透框架已被多次观察到与machineKey攻击配合使用。5.2 防御检测工具Snort规则已有针对ViewState RCE尝试的检测规则可识别针对使用ViewState的Web应用如Microsoft Exchange Control Panel、ConnectWise ScreenConnect的攻击尝试。Elastic检测规则Elastic已发布针对IIS/SharePoint上恶意VIEWSTATE payload的检测规则特别针对ToolShell攻击链。AMSIAnti-Malware Scan Interface微软建议升级到ASP.NET 4.8以启用AMSI能力帮助检测和阻止恶意活动。5.3 密钥生成工具IIS管理器内置Machine Key配置界面可生成随机密钥。PowerShell微软官方推荐使用PowerShell生成和替换密钥。# 使用PowerShell生成随机machineKeyAdd-Type-AssemblyName System.Web$validationKey[System.Web.Security.MachineKey]::GenerateKey(128)$decryptionKey[System.Web.Security.MachineKey]::GenerateKey(64)Write-HostvalidationKey$validationKeyWrite-HostdecryptionKey$decryptionKey在线生成器虽然方便但不建议在生产环境使用——你永远不知道谁在记录你的密钥。六、架构设计反思为什么“静态信任”是架构级缺陷6.1 静态密钥的架构悖论machineKey的设计初衷是在Web Farm场景下统一加密和验证——多台服务器使用相同的密钥处理ViewState。这本是合理的架构需求但**“统一”被错误地实现为“静态”** 。架构级缺陷在于密钥一旦生成就几乎从不轮换。ToolShell案例充分暴露了这个问题——攻击者在入侵后提取密钥即使系统打了补丁依然能利用密钥持续伪造ViewState。SecureW2在其2025年8月的分析中尖锐指出“静态秘密嵌入企业系统会创建无法轻易撤销的永久信任关系”。他们将此归结为更广泛的身份管理问题——“停止让静态秘密充当身份”。6.2 Web Farm场景下的密钥同步困境在Web Farm环境中所有服务器必须共享相同的machineKey才能正确处理ViewState。这导致了一个两难局面手动同步管理员手动将同一密钥复制到所有服务器→容易硬编码集中配置从中央配置中心读取→密钥可能暴露在传输或存储中自动生成并同步实现复杂很少有团队做到SharePoint Server Subscription Edition提供了一个值得借鉴的方案默认加密web.config中的machineKey节即使攻击者获取了web.config文件也无法读取密钥。6.3 零信任视角下的machineKey从零信任架构的角度看machineKey问题本质上是**“隐式信任”的典型案例**。服务器无条件信任任何使用正确密钥签名的ViewState而这个“正确密钥”可能已经被攻破数十年。零信任的解决思路短期凭证替代长期静态密钥定期自动轮换将密钥与特定部署实例绑定而非全局共享结合运行时行为检测而非仅依赖静态验证七、防护方案从反面教材到最佳实践7.1 立即行动紧急修复1. 检查并替换所有硬编码密钥# 在web.config中搜索machineKey配置Select-String-PathC:\*\web.config-PatternmachineKey2. 生成唯一密钥每个部署实例必须使用独一无二的machineKey。不要复用、不要复制、不要使用示例。3. 加密web.config中的敏感配置微软和Sitecore均建议对web.config中的machineKey和connectionStrings元素进行加密。# 使用aspnet_regiis加密web.config节aspnet_regiis-pesystem.web/machineKey-app/YourApp-provDataProtectionConfigurationProvider4. 升级到最新版本VeraSMART用户升级到2022 R1或更高版本KnowledgeDeliver用户升级到2026年2月24日之后的版本CentreStack用户升级到16.4.10315.56368或更高Sitecore用户替换所有静态密钥7.2 中期加固纵深防御1. 限制ViewState使用在不需要ViewState的页面禁用EnableViewState对需要ViewState的页面启用EnableViewStateMACtrue默认已启用2. 强化加密算法根据DISA STIG指南生产IIS 10.0服务器应验证方法选择HMACSHA256或更强的算法加密方法选择AES而非DES/TripleDES3. 实施密钥轮换策略定期轮换machineKey应作为持续的安全措施。建议每90-180天轮换一次轮换时确保所有Web Farm节点同步更新保留旧密钥一段过渡期以处理已发出的ViewState4. 部署检测规则部署Snort/Suricata规则检测恶意VIEWSTATE请求启用Elastic等SIEM的预置检测规则监控异常大的ViewState值正常ViewState通常很小7.3 长期治理体系化改进1. 将machineKey纳入秘密管理不要在web.config中明文存储machineKey。考虑使用Windows凭据管理器或证书存储使用Azure Key Vault或AWS Secrets Manager在CI/CD流水线中动态注入密钥2. 建立安全配置基线将machineKey安全配置纳入安全编码规范代码审查检查清单自动化安全扫描SAST/DAST3. 考虑迁移到ASP.NET CoreASP.NET Core的Data Protection API默认自动生成并管理密钥从根本上消除了硬编码问题。虽然迁移成本高但对于新项目应优先选择。4. 应急响应预案如果怀疑machineKey已泄露仅轮换密钥不够——攻击者可能已建立后门进行全面的入侵调查必要时重新安装Web-facing服务器八、总结三个关键教训回顾2025-2026年的这一系列安全事件我们可以提炼出三个关键教训教训一配置即代码配置即安全machineKey不是“运维细节”而是核心安全控制。将其视为“随便配一下就行”的配置项等于把钥匙挂在门上。教训二静态密钥是架构债务任何长期不轮换的静态密钥都是架构债务。密钥的生命周期管理应该像代码版本管理一样严谨——可追溯、可轮换、可撤销。教训三不要从文档复制密钥这听起来像常识但Sitecore、Gladinet等案例证明大量生产系统正在使用官方文档中的示例密钥。Sitecore的示例密钥来自2017年前的文档至今仍被使用。任何官方文档中的示例密钥都应该被视为“已泄露”绝不可用于生产。实践建议如果你是开发者永远不要从任何地方复制machineKey每个部署使用aspnet_regiis -ga或PowerShell生成唯一密钥将machineKey配置纳入代码审查如果你是运维人员检查所有web.config中的machineKey配置加密web.config敏感节建立密钥轮换日历如果你是安全团队将machineKey检查纳入漏洞扫描部署ViewState恶意payload检测规则将硬编码密钥问题加入安全培训如果你还在用2017年Sitecore文档里的示例密钥——现在就去改。攻击者已经知道它了。参考文献INCIBE-CERT. CVE-2026-26335 - Calero VeraSMART Static IIS Machine Keys Enable ViewState RCE. February 2026.OpenCVE. CVE-2026-5426 - KnowledgeDeliver Hard-coded ASP.NET/IIS machineKey. February 2026.CISA. CVE-2025-30406 - Gladinet CentreStack Hard-coded Cryptographic Key. April 2025.Microsoft Security Blog. Code injection attacks using publicly disclosed ASP.NET machine keys. February 2025.Mandiant/Sitecore. CVE-2025-53690 - Sitecore ViewState Deserialization Zero-Day. September 2025.SecureW2. When Static Trust Becomes a Backdoor: Lessons from the 2025 SharePoint ToolShell Exploit. August 2025.Kudelski Security. Persistent Exploitation of ASP.NET Components Fuels Remote Code Execution Attacks. July 2025.DISA STIG. Microsoft IIS 10.0 Server Security Technical Implementation Guide - Machine Key Configuration. 2025-2026.Microsoft Learn. SharePoint Server: Improved ASP.NET view state security and key management. March 2025.CIRT.GY. Microsoft Warns of ViewState Code Injection Attacks Exploiting Exposed ASP.NET Keys. February 2025.本文基于2025年2月至2026年5月期间公开披露的安全漏洞、官方公告和安全研究撰写所有案例和引用均有可验证的公开来源。
IIS machineKey 安全管理的反面教材:硬编码密钥如何导致 ViewState 反序列化 RCE?
发布时间:2026/6/28 17:05:35
引言一个被严重低估的配置项正在成为企业内网的“万能钥匙”在ASP.NET应用的安全运维中machineKey大概是最容易被忽视的配置项之一。它不像SQL注入那样频频登上安全头条也不像反序列化漏洞那样自带“高危”光环。但正是这个藏在web.config角落里的密钥配置正在成为攻击者突破企业内网最趁手的武器。2025年2月微软威胁情报团队公开警告已识别出超过3000个公开的ASP.NET machineKey这些密钥都可能被用于ViewState代码注入攻击。一个月后Gladinet CentreStack的硬编码machineKey漏洞CVE-2025-30406被确认已在野利用。进入2026年CVE-2026-26335和CVE-2026-5426相继披露硬编码machineKey问题不仅没有收敛反而呈现出跨产品、跨版本的蔓延趋势。这不是ASP.NET框架本身的安全缺陷而是开发者和管理员在密钥管理上的系统性失守。本文将深入剖析硬编码machineKey如何成为ViewState反序列化RCE的罪魁祸首通过近三个月的真实漏洞案例揭示这一反面教材背后的技术本质与防护之道。一、问题本质machineKey是什么为什么它如此关键1.1 machineKey的双重使命在ASP.NET Web Forms中machineKey承担着两个至关重要的安全职责验证Validation通过validationKey为ViewState数据生成消息认证码MAC确保数据在客户端与服务器之间传输时未被篡改。ASP.NET运行时收到POST请求后会使用相同的validationKey重新计算MAC值并与请求中的值比对——匹配则通过不匹配则拒绝。加密Encryption通过decryptionKey对ViewState数据进行加密防止敏感信息在传输过程中被窃取或泄露。这两个密钥共同构成了ASP.NET ViewState安全机制的信任锚点。一旦攻击者掌握了这两把钥匙就能伪造任意ViewState payload让服务器无条件信任并执行。1.2 典型的machineKey配置一个标准的web.config中的machineKey配置如下system.webmachineKeyvalidationKey[64位十六进制字符串]decryptionKey[32位十六进制字符串]validationHMACSHA256decryptionAES//system.webvalidationKey长度为64字节128个十六进制字符decryptionKey长度为32字节64个十六进制字符。根据美国国防部信息系统局DISA发布的IIS 10.0 STIG安全技术实施指南生产环境应使用HMACSHA256或更强的验证算法。1.3 硬编码的致命诱惑问题出在哪里开发者为了图省事直接把官方文档或开源示例中的密钥复制粘贴到生产环境。根据微软2025年2月的安全公告攻击者利用公开的ASP.NET machineKey进行ViewState代码注入攻击这些密钥广泛存在于公开的代码仓库、技术文档和论坛中。以往已知的ViewState代码注入攻击多使用从暗网论坛购买的被盗密钥而这些公开的密钥存在于多个代码库中开发者可能直接将其复制到代码中而未进行修改因此风险更高。二、真实案例2025-2026年硬编码machineKey漏洞全景近三个月内安全社区披露了多起因硬编码machineKey导致的严重漏洞。以下是几个最具代表性的案例2.1 CVE-2026-26335Calero VeraSMART的静态密钥之殇披露时间2026年2月13日影响产品Calero VeraSMART 2022 R1之前的所有版本漏洞描述Calero VeraSMART使用静态的ASP.NET/IIS machineKey值这些值硬编码在C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config中。攻击者一旦获取这些密钥只需读取该配置文件即可构造合法的ASP.NET ViewState payload绕过完整性验证在IIS应用程序上下文中实现服务器端反序列化和远程代码执行。严重程度CVSS v4.0评分为CRITICAL严重技术分析VulDB分析团队指出该漏洞属于CWE-327使用破损或有风险的加密算法和CWE-502不可信数据的反序列化。静态machineKey意味着一旦被泄露密钥将永久可用直到手动更改造成长期安全风险。攻击者可利用被攻陷的Web应用进行横向移动、访问敏感数据并建立持久化访问点。2.2 CVE-2026-5426KnowledgeDeliver的“一钥通天下”披露时间2026年2月24日影响产品Digital Knowledge KnowledgeDeliver 2026年2月24日之前的所有部署漏洞描述该漏洞源于Digital Knowledge KnowledgeDeliver安装程序中使用的静态ASP.NET/IIS machineKey值。由于密钥是硬编码的攻击者可以伪造已签名的ViewState payload绕过框架验证注入恶意对象并被应用程序反序列化。严重程度CVSS v3.1评分9.1严重攻击路径OpenCVE的分析指出攻击者无需认证即可向任何接受ViewState的端点发送恶意payload绕过完整性检查并触发任意代码执行。受影响版本统一使用相同的machineKey意味着攻破一个实例就能获得所有实例的“万能钥匙”。2.3 CVE-2025-30406Gladinet CentreStack的在野利用披露时间2025年4月3日CISA于4月8日将其加入已知被利用漏洞目录影响产品Gladinet CentreStack 16.1.10296.56315及之前版本修复于16.4.10315.56368漏洞描述CentreStack门户的安装程序使用了硬编码的validationKey和decryptionKey。所有由该版本安装程序创建的实例使用相同的密钥。攻击者一旦知晓这些密钥即可通过众所周知的方法在服务器上远程执行任意代码。严重程度CVSS v3.1评分9.8严重在野利用该漏洞已于2025年3月在野被利用。CISA要求联邦机构在2025年4月29日前完成修复或停止使用该产品。Tenable的通报特别指出CentreStack管理员可以手动删除portal\web.config中定义的machineKey作为临时缓解措施。2.4 CVE-2025-53690Sitecore十年旧文档埋下的雷披露时间2025年9月4日CISA将其加入KEV目录影响产品Sitecore Experience Manager (XM)、Experience Platform (XP) 9.0及更早版本漏洞描述该漏洞由2017年前的Sitecore官方指南中包含的示例ASP.NET machineKey导致。部分客户在生产环境中直接复用了这些示例密钥。攻击者利用公开的示例密钥构造恶意__VIEWSTATEpayload绕过验证实现RCE。严重程度CVSS v3.1评分9.0严重攻击活动Mandiant研究人员发现威胁行为者利用该漏洞部署了WeepSteel侦察型后门。攻击链包括以/sitecore/blocked.aspx端点为入口该端点包含未经验证的ViewState字段以IIS NETWORK SERVICE账户权限执行RCE部署Earthworm隧道代理、Dwagent远程访问工具创建本地管理员账户、转储SAM和SYSTEM凭据2.5 CVE-2025-53770ToolShellSharePoint的连锁反应披露时间2025年7月19日影响产品Microsoft SharePoint Server 2016、2019及Subscription Edition漏洞描述ToolShell利用链包含两个漏洞——CVE-2025-53771Referer头欺骗绕过认证和CVE-2025-53770ViewState反序列化RCE。攻击者通过/_layouts/15/ToolPane.aspx端点注入恶意payload。严重程度CVSS评分9.8严重关键转折ToolShell的真正杀伤力不在于初始入侵而在于入侵后的密钥窃取。攻击者部署web shell后从配置文件中dump出ValidationKey和DecryptionKey。拿到这些密钥后攻击者可以在系统打补丁后依然保持持久访问因为静态密钥没有被轮换。SecureW2的分析指出“静态秘密一旦泄露就变成了攻击者的万能钥匙”。三、攻击手法解剖从硬编码密钥到远程代码执行3.1 完整的攻击链第一阶段密钥获取攻击者获取硬编码machineKey的途径包括读取公开的web.config文件如GitHub泄露、目录遍历漏洞利用已知漏洞如ToolShell从服务器内存或配置文件中提取直接从官方文档或开源示例中复制如Sitecore案例暴力破解弱密钥使用ViewState-Cracker等工具第二阶段Payload构造攻击者使用开源工具ysoserial.net生成恶意ViewState payload。该工具支持多种.NET反序列化gadget链可将任意RCE payload封装为合法的ViewState对象。# 使用ysoserial.net生成恶意ViewState payloadysoserial.exe-pViewState-gTextFormattingRunProperties-ccalc.exe\--validationkey[泄露的validationKey]\--validationalgHMACSHA256\--decryptionkey[泄露的decryptionKey]\--decryptionalgAES第三阶段Payload投递攻击者通过HTTP POST请求将恶意__VIEWSTATE参数发送至目标服务器。由于payload使用正确的密钥签名ASP.NET运行时会将其视为合法请求解密、验证MAC后反序列化执行。第四阶段后渗透根据Kudelski Security在2025年6月的一次应急响应案例攻击者利用公开machineKey实现RCE后立即部署了Godzilla内存Webshell和Cobalt Strike后渗透框架。Godzilla支持命令执行和Shellcode注入为攻击者提供对受陷环境的完整控制。3.2 为什么ViewState反序列化如此危险.NET反序列化攻击的核心是“gadget链”——即应用程序或.NET框架中已存在的类在反序列化过程中会执行特定代码。攻击者将恶意对象序列化后嵌入ViewState服务器反序列化时触发gadget链的执行。ViewState的特殊之处在于默认启用ASP.NET Web Forms默认使用ViewState无需认证ViewState可在未认证的端点被处理信任绑定一旦MAC验证通过服务器完全信任payload内容当machineKey被硬编码或泄露ViewState就从安全机制变成了攻击通道。四、竞品对比不同技术栈的密钥管理实践将ASP.NET的machineKey管理与其他主流技术栈对比更能看清问题的本质技术栈密钥管理机制默认行为安全风险ASP.NET machineKey手动配置在web.config中无默认密钥需开发者生成高风险依赖人工操作易硬编码ASP.NET Core Data Protection自动生成并持久化密钥每台机器自动生成唯一密钥低风险自动化程度高JWT (各语言实现)密钥可配置通常从环境变量读取无默认密钥中风险依赖环境变量安全Spring Boot (Java)密钥从配置文件或环境变量读取无默认密钥中风险配置文件需加密Django (Python)SECRET_KEY自动生成存储在settings.py自动生成随机密钥低风险生成自动化Rails (Ruby)secret_key_base自动生成自动生成随机密钥低风险生成自动化ASP.NET machineKey的核心问题是没有“自动生成唯一密钥”的默认行为。开发者必须主动生成并配置而这个“主动”环节恰恰成为安全失效的高发区。根据微软2025年2月的统计已识别出超过3000个公开的ASP.NET machineKey。相比之下ASP.NET Core从3.0开始默认使用自动生成的密钥并存储在%LOCALAPPDATA%中极少出现硬编码问题——尽管迁移到ASP.NET Core并非对所有遗留应用可行。正如CIRT.GY在2025年2月的分析中指出“这些攻击利用在公开仓库和文档中发现的静态validationKey和decryptionKey值在受陷的IIS Web服务器上执行远程代码”。五、生态工具攻击与防御的军备竞赛5.1 攻击工具链ysoserial.net目前最流行的.NET反序列化payload生成工具支持ViewState、LosFormatter、ObjectStateFormatter等多种格式化器。GitHub上已有公开的POC代码。ViewState-Cracker开源的BurpSuite插件可自动提取ViewState数据、检测无签名ViewState、通过字典爆破machineKey。这大大降低了攻击门槛。Godzilla中国黑客团队开发的后渗透框架已被多次观察到与machineKey攻击配合使用。5.2 防御检测工具Snort规则已有针对ViewState RCE尝试的检测规则可识别针对使用ViewState的Web应用如Microsoft Exchange Control Panel、ConnectWise ScreenConnect的攻击尝试。Elastic检测规则Elastic已发布针对IIS/SharePoint上恶意VIEWSTATE payload的检测规则特别针对ToolShell攻击链。AMSIAnti-Malware Scan Interface微软建议升级到ASP.NET 4.8以启用AMSI能力帮助检测和阻止恶意活动。5.3 密钥生成工具IIS管理器内置Machine Key配置界面可生成随机密钥。PowerShell微软官方推荐使用PowerShell生成和替换密钥。# 使用PowerShell生成随机machineKeyAdd-Type-AssemblyName System.Web$validationKey[System.Web.Security.MachineKey]::GenerateKey(128)$decryptionKey[System.Web.Security.MachineKey]::GenerateKey(64)Write-HostvalidationKey$validationKeyWrite-HostdecryptionKey$decryptionKey在线生成器虽然方便但不建议在生产环境使用——你永远不知道谁在记录你的密钥。六、架构设计反思为什么“静态信任”是架构级缺陷6.1 静态密钥的架构悖论machineKey的设计初衷是在Web Farm场景下统一加密和验证——多台服务器使用相同的密钥处理ViewState。这本是合理的架构需求但**“统一”被错误地实现为“静态”** 。架构级缺陷在于密钥一旦生成就几乎从不轮换。ToolShell案例充分暴露了这个问题——攻击者在入侵后提取密钥即使系统打了补丁依然能利用密钥持续伪造ViewState。SecureW2在其2025年8月的分析中尖锐指出“静态秘密嵌入企业系统会创建无法轻易撤销的永久信任关系”。他们将此归结为更广泛的身份管理问题——“停止让静态秘密充当身份”。6.2 Web Farm场景下的密钥同步困境在Web Farm环境中所有服务器必须共享相同的machineKey才能正确处理ViewState。这导致了一个两难局面手动同步管理员手动将同一密钥复制到所有服务器→容易硬编码集中配置从中央配置中心读取→密钥可能暴露在传输或存储中自动生成并同步实现复杂很少有团队做到SharePoint Server Subscription Edition提供了一个值得借鉴的方案默认加密web.config中的machineKey节即使攻击者获取了web.config文件也无法读取密钥。6.3 零信任视角下的machineKey从零信任架构的角度看machineKey问题本质上是**“隐式信任”的典型案例**。服务器无条件信任任何使用正确密钥签名的ViewState而这个“正确密钥”可能已经被攻破数十年。零信任的解决思路短期凭证替代长期静态密钥定期自动轮换将密钥与特定部署实例绑定而非全局共享结合运行时行为检测而非仅依赖静态验证七、防护方案从反面教材到最佳实践7.1 立即行动紧急修复1. 检查并替换所有硬编码密钥# 在web.config中搜索machineKey配置Select-String-PathC:\*\web.config-PatternmachineKey2. 生成唯一密钥每个部署实例必须使用独一无二的machineKey。不要复用、不要复制、不要使用示例。3. 加密web.config中的敏感配置微软和Sitecore均建议对web.config中的machineKey和connectionStrings元素进行加密。# 使用aspnet_regiis加密web.config节aspnet_regiis-pesystem.web/machineKey-app/YourApp-provDataProtectionConfigurationProvider4. 升级到最新版本VeraSMART用户升级到2022 R1或更高版本KnowledgeDeliver用户升级到2026年2月24日之后的版本CentreStack用户升级到16.4.10315.56368或更高Sitecore用户替换所有静态密钥7.2 中期加固纵深防御1. 限制ViewState使用在不需要ViewState的页面禁用EnableViewState对需要ViewState的页面启用EnableViewStateMACtrue默认已启用2. 强化加密算法根据DISA STIG指南生产IIS 10.0服务器应验证方法选择HMACSHA256或更强的算法加密方法选择AES而非DES/TripleDES3. 实施密钥轮换策略定期轮换machineKey应作为持续的安全措施。建议每90-180天轮换一次轮换时确保所有Web Farm节点同步更新保留旧密钥一段过渡期以处理已发出的ViewState4. 部署检测规则部署Snort/Suricata规则检测恶意VIEWSTATE请求启用Elastic等SIEM的预置检测规则监控异常大的ViewState值正常ViewState通常很小7.3 长期治理体系化改进1. 将machineKey纳入秘密管理不要在web.config中明文存储machineKey。考虑使用Windows凭据管理器或证书存储使用Azure Key Vault或AWS Secrets Manager在CI/CD流水线中动态注入密钥2. 建立安全配置基线将machineKey安全配置纳入安全编码规范代码审查检查清单自动化安全扫描SAST/DAST3. 考虑迁移到ASP.NET CoreASP.NET Core的Data Protection API默认自动生成并管理密钥从根本上消除了硬编码问题。虽然迁移成本高但对于新项目应优先选择。4. 应急响应预案如果怀疑machineKey已泄露仅轮换密钥不够——攻击者可能已建立后门进行全面的入侵调查必要时重新安装Web-facing服务器八、总结三个关键教训回顾2025-2026年的这一系列安全事件我们可以提炼出三个关键教训教训一配置即代码配置即安全machineKey不是“运维细节”而是核心安全控制。将其视为“随便配一下就行”的配置项等于把钥匙挂在门上。教训二静态密钥是架构债务任何长期不轮换的静态密钥都是架构债务。密钥的生命周期管理应该像代码版本管理一样严谨——可追溯、可轮换、可撤销。教训三不要从文档复制密钥这听起来像常识但Sitecore、Gladinet等案例证明大量生产系统正在使用官方文档中的示例密钥。Sitecore的示例密钥来自2017年前的文档至今仍被使用。任何官方文档中的示例密钥都应该被视为“已泄露”绝不可用于生产。实践建议如果你是开发者永远不要从任何地方复制machineKey每个部署使用aspnet_regiis -ga或PowerShell生成唯一密钥将machineKey配置纳入代码审查如果你是运维人员检查所有web.config中的machineKey配置加密web.config敏感节建立密钥轮换日历如果你是安全团队将machineKey检查纳入漏洞扫描部署ViewState恶意payload检测规则将硬编码密钥问题加入安全培训如果你还在用2017年Sitecore文档里的示例密钥——现在就去改。攻击者已经知道它了。参考文献INCIBE-CERT. CVE-2026-26335 - Calero VeraSMART Static IIS Machine Keys Enable ViewState RCE. February 2026.OpenCVE. CVE-2026-5426 - KnowledgeDeliver Hard-coded ASP.NET/IIS machineKey. February 2026.CISA. CVE-2025-30406 - Gladinet CentreStack Hard-coded Cryptographic Key. April 2025.Microsoft Security Blog. Code injection attacks using publicly disclosed ASP.NET machine keys. February 2025.Mandiant/Sitecore. CVE-2025-53690 - Sitecore ViewState Deserialization Zero-Day. September 2025.SecureW2. When Static Trust Becomes a Backdoor: Lessons from the 2025 SharePoint ToolShell Exploit. August 2025.Kudelski Security. Persistent Exploitation of ASP.NET Components Fuels Remote Code Execution Attacks. July 2025.DISA STIG. Microsoft IIS 10.0 Server Security Technical Implementation Guide - Machine Key Configuration. 2025-2026.Microsoft Learn. SharePoint Server: Improved ASP.NET view state security and key management. March 2025.CIRT.GY. Microsoft Warns of ViewState Code Injection Attacks Exploiting Exposed ASP.NET Keys. February 2025.本文基于2025年2月至2026年5月期间公开披露的安全漏洞、官方公告和安全研究撰写所有案例和引用均有可验证的公开来源。
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-字符串变换最小次数[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-内存资源分配[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
