Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)
Questo post è dedicato a capire come il gadget ObjectDataProvider viene sfruttato per ottenere RCE e come le librerie di serializzazione Json.Net e xmlSerializer possono essere abusate con quel gadget.
Gadget ObjectDataProvider
Dalla documentazione: la classe ObjectDataProvider avvolge e crea un oggetto che puoi utilizzare come origine di binding. Sì, è una spiegazione strana, quindi vediamo cosa ha di interessante questa classe: Questa classe permette di avvolgere un oggetto arbitrario, utilizzare MethodParameters per impostare parametri arbitrari, e quindi utilizzare MethodName per chiamare una funzione arbitraria dell'oggetto arbitrario dichiarato utilizzando i parametri arbitrari. Pertanto, l'oggetto arbitrario eseguirà una funzione con parametri durante la deserializzazione.
Come è possibile
Lo spazio dei nomi System.Windows.Data, trovato all'interno del PresentationFramework.dll in C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF
, è dove è definito e implementato l'ObjectDataProvider.
Utilizzando dnSpy puoi ispezionare il codice della classe che ci interessa. Nell'immagine sottostante stiamo vedendo il codice di PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Nome del metodo
Come puoi osservare quando viene impostato MethodName
viene chiamato base.Refresh()
, vediamo cosa fa:
Ok, continuiamo a vedere cosa fa this.BeginQuery()
. BeginQuery
è sovrascritto da ObjectDataProvider
e questo è ciò che fa:
Nota che alla fine del codice chiama this.QueryWorke(null)
. Vediamo cosa esegue:
Nota che questo non è il codice completo della funzione QueryWorker
ma mostra la parte interessante: Il codice chiama this.InvokeMethodOnInstance(out ex);
questa è la riga in cui il metodo impostato viene invocato.
Se vuoi verificare che impostando il MethodName verrà eseguito, puoi eseguire questo codice:
Nota che è necessario aggiungere come riferimento C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll per caricare System.Windows.Data
ExpandedWrapper
Utilizzando l'exploit precedente, ci saranno casi in cui l'oggetto verrà deserializzato come un'istanza di ObjectDataProvider (ad esempio nella vulnerabilità di DotNetNuke, utilizzando XmlSerializer, l'oggetto è stato deserializzato utilizzando GetType
). Quindi, non si avrà conoscenza del tipo di oggetto che è incapsulato nell'istanza di ObjectDataProvider (Process
per esempio). Puoi trovare maggiori informazioni sulla vulnerabilità di DotNetNuke qui.
Questa classe permette di specificare i tipi di oggetto che sono incapsulati in una data istanza. Quindi, questa classe può essere utilizzata per incapsulare un oggetto sorgente (ObjectDataProvider) in un nuovo tipo di oggetto e fornire le proprietà di cui abbiamo bisogno (ObjectDataProvider.MethodName e ObjectDataProvider.MethodParameters). Questo è molto utile per casi come quello presentato in precedenza, perché saremo in grado di incapsulare _ObjectDataProvider** all'interno di un'istanza di **ExpandedWrapper _ e quando deserializzato questa classe creerà l'oggetto OjectDataProvider che eseguirà la funzione indicata in MethodName.
Puoi verificare questo wrapper con il seguente codice:
Json.Net
Nella pagina web ufficiale è indicato che questa libreria consente di Serializzare e deserializzare qualsiasi oggetto .NET con il potente serializzatore JSON di Json.NET. Quindi, se potessimo deserializzare il gadget ObjectDataProvider, potremmo causare un RCE semplicemente deserializzando un oggetto.
Esempio Json.Net
Prima di tutto vediamo un esempio su come serializzare/deserializzare un oggetto utilizzando questa libreria:
Abusare di Json.Net
Utilizzando ysoserial.net ho creato l'exploit:
In questo codice puoi testare l'exploit, basta eseguirlo e vedrai che viene eseguita una calcolatrice:
Last updated