Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dieser Beitrag ist gewidmet, um zu verstehen, wie das Gadget ObjectDataProvider ausgenutzt wird, um RCE zu erhalten und wie die Serialisierungsbibliotheken Json.Net und xmlSerializer mit diesem Gadget missbraucht werden können.
Aus der Dokumentation: Die ObjectDataProvider-Klasse umschließt und erstellt ein Objekt, das Sie als Bindungsquelle verwenden können. Ja, es ist eine seltsame Erklärung, also schauen wir uns an, was diese Klasse so interessant macht: Diese Klasse ermöglicht es, ein beliebiges Objekt zu umschließen, MethodParameters zu verwenden, um beliebige Parameter festzulegen, und dann MethodName zu verwenden, um eine beliebige Funktion des beliebigen Objekts, das mit den beliebigen Parametern deklariert wurde, aufzurufen. Daher wird das beliebige Objekt eine Funktion mit Parametern ausführen, während es deserialisiert wird.
Der System.Windows.Data Namensraum, der innerhalb der PresentationFramework.dll unter C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF
definiert und implementiert ist, ist der Ort, an dem der ObjectDataProvider definiert ist.
Mit dnSpy können Sie den Code der Klasse, die uns interessiert, untersuchen. Im Bild unten sehen wir den Code von PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Method name
Wie Sie beobachten können, wird bei der Einstellung von MethodName
base.Refresh()
aufgerufen, schauen wir uns an, was es tut:
Ok, lassen Sie uns weitersehen, was this.BeginQuery()
tut. BeginQuery
wird von ObjectDataProvider
überschrieben und das ist, was es tut:
Beachten Sie, dass am Ende des Codes this.QueryWorke(null)
aufgerufen wird. Lassen Sie uns sehen, was das ausführt:
Beachten Sie, dass dies nicht der vollständige Code der Funktion QueryWorker
ist, aber es zeigt den interessanten Teil davon: Der Code ruft this.InvokeMethodOnInstance(out ex);
auf dies ist die Zeile, in der die Methodenfestlegung aufgerufen wird.
Wenn Sie überprüfen möchten, dass nur durch das Setzen von MethodName** es ausgeführt wird**, können Sie diesen Code ausführen:
Beachten Sie, dass Sie als Referenz C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll hinzufügen müssen, um System.Windows.Data
zu laden.
Mit dem vorherigen Exploit wird es Fälle geben, in denen das Objekt als ObjectDataProvider Instanz deserialisiert wird (zum Beispiel in der DotNetNuke-Schwachstelle, bei Verwendung von XmlSerializer, wurde das Objekt mit GetType
deserialisiert). Dann hat man keine Kenntnis über den Objekttyp, der in der ObjectDataProvider Instanz eingekapselt ist (zum Beispiel Process
). Weitere Informationen zur DotNetNuke-Schwachstelle finden Sie hier.
Diese Klasse ermöglicht es, die Objekttypen der Objekte, die in einer bestimmten Instanz eingekapselt sind, anzugeben. Diese Klasse kann verwendet werden, um ein Quellobjekt (ObjectDataProvider) in einen neuen Objekttyp einzukapseln und die benötigten Eigenschaften bereitzustellen (ObjectDataProvider.MethodName und ObjectDataProvider.MethodParameters). Dies ist sehr nützlich für Fälle wie den zuvor dargestellten, da wir in der Lage sein werden, _ObjectDataProvider** innerhalb einer **ExpandedWrapper _ Instanz zu verpacken, und bei der Deserialisierung wird diese Klasse das OjectDataProvider Objekt erstellen, das die Funktion ausführt, die in MethodName angegeben ist.
Sie können diesen Wrapper mit dem folgenden Code überprüfen:
Auf der offiziellen Webseite wird angegeben, dass diese Bibliothek es ermöglicht, jede .NET-Objekt mit Json.NETs leistungsstarkem JSON-Serializer zu serialisieren und zu deserialisieren. Wenn wir also das ObjectDataProvider-Gadget deserialisieren könnten, könnten wir durch das Deserialisieren eines Objekts eine RCE verursachen.
Zunächst sehen wir uns ein Beispiel an, wie man ein Objekt mit dieser Bibliothek serialisieren/deserialisieren kann:
Mit ysoserial.net habe ich den Exploit erstellt:
In diesem Code kannst du den Exploit testen, führe ihn einfach aus und du wirst sehen, dass ein Calc ausgeführt wird:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)