Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)
Dieser Beitrag ist dediziert dem Verständnis, wie das Gadget ObjectDataProvider ausgenutzt wird, um RCE zu erhalten und wie die Serialisierungsbibliotheken Json.Net und xmlSerializer missbraucht werden können.
ObjectDataProvider-Gadget
Aus der Dokumentation: Die ObjectDataProvider-Klasse umschließt und erstellt ein Objekt, das Sie als Bindungsquelle verwenden können. Ja, das ist eine seltsame Erklärung, also schauen wir uns an, was diese Klasse so interessant macht: Diese Klasse ermöglicht es, ein beliebiges Objekt zu umschließen, MethodParameters zu verwenden, um beliebige Parameter festzulegen, und dann MethodName zu verwenden, um eine beliebige Funktion des beliebigen Objekts aufzurufen, die unter Verwendung der beliebigen Parameter deklariert wurde. Daher wird das beliebige Objekt eine Funktion mit Parametern ausführen, während es deserialisiert wird.
Wie ist das möglich
Der System.Windows.Data-Namespace, der in der PresentationFramework.dll unter C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF
gefunden wird, ist der Ort, an dem der ObjectDataProvider definiert und implementiert ist.
Mit dnSpy können Sie den Code der Klasse, an der wir interessiert sind, überprüfen. Im folgenden Bild sehen wir den Code von PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Methodenname
Wie Sie sehen können, wenn MethodName
festgelegt ist, wird base.Refresh()
aufgerufen. Schauen wir uns an, was es tut:
Ok, schauen wir uns an, was this.BeginQuery()
tut. BeginQuery
wird von ObjectDataProvider
überschrieben und das ist, was es tut:
Beachten Sie, dass am Ende des Codes this.QueryWorke(null)
aufgerufen wird. Schauen wir uns an, was das ausführt:
Beachten Sie, dass dies nicht der vollständige Code der Funktion QueryWorker
ist, aber es zeigt den interessanten Teil davon: Der Code ruft this.InvokeMethodOnInstance(out ex);
auf, dies ist die Zeile, in der die festgelegte Methode aufgerufen wird.
Wenn Sie überprüfen möchten, dass nur durch Festlegen des MethodName es ausgeführt wird, können Sie diesen Code ausführen:
Hinweis: Sie müssen C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll als Referenz hinzufügen, um System.Windows.Data
zu laden.
ExpandedWrapper
Unter Verwendung des vorherigen Exploits wird es Fälle geben, in denen das Objekt als eine ObjectDataProvider-Instanz deserialisiert wird (zum Beispiel bei der DotNetNuke-Schwachstelle, bei der das Objekt unter Verwendung von GetType
deserialisiert wurde). Dann wird keine Kenntnis über den Objekttyp haben, der in der ObjectDataProvider-Instanz eingewickelt ist (Process
zum Beispiel). Weitere Informationen zur DotNetNuke-Schwachstelle finden Sie hier.
Diese Klasse ermöglicht es, die Objekttypen der Objekte anzugeben, die in einer bestimmten Instanz eingekapselt sind. Daher kann diese Klasse verwendet werden, um ein Quellobjekt (ObjectDataProvider) in einen neuen Objekttyp einzukapseln und die benötigten Eigenschaften bereitzustellen (ObjectDataProvider.MethodName und ObjectDataProvider.MethodParameters). Dies ist sehr nützlich für Fälle wie den zuvor präsentierten, da wir in der Lage sein werden, _ObjectDataProvider** in eine **ExpandedWrapper _Instanz einzuhüllen und beim Deserialisieren dieser Klasse das OjectDataProvider-Objekt zu erstellen, das die in MethodName angegebene Funktion ausführen wird.
Sie können diesen Wrapper mit folgendem Code überprüfen:
Json.Net
Auf der offiziellen Webseite wird angegeben, dass diese Bibliothek es ermöglicht, beliebige .NET-Objekte mit dem leistungsstarken JSON-Serializer von Json.NET zu serialisieren und zu deserialisieren. Wenn wir also das ObjectDataProvider-Gadget deserialisieren könnten, könnten wir durch das Deserialisieren eines Objekts eine RCE verursachen.
Json.Net Beispiel
Zunächst sehen wir uns ein Beispiel an, wie man ein Objekt mithilfe dieser Bibliothek serialisiert/deserialisiert:
Ausnutzen von Json.Net
Unter Verwendung von ysoserial.net habe ich das Exploit erstellt:
In diesem Code können Sie den Exploit testen, führen Sie ihn einfach aus und Sie werden sehen, dass ein Taschenrechner ausgeführt wird:
Last updated