ASP.net 资源请求漏洞利用工具PadBuster

在ASP.net 网站中，为了便于部署网站项目，开发者往往会将资源（图片、Javascript文件）嵌入到dll文件中。而网页中，会使用WebResource.axd?d=XXX的形式请求资源。其中，XXX采用CBC-R加密的方式生成的访问密钥。由于CBC-R算法存在Padding Oracle漏洞，所以导致渗透人员可以非法访问网站敏感文件，如web.config。PadBuster是Kali Linux提供的一款专向工具。该工具使用Perl语言编写，可以暴力破解访问密钥，获取指定文件的内容。