原文來自安全客,作者:Ivan1ee@360云影實驗室
原文鏈接:https://www.anquanke.com/post/id/173652

相關閱讀:

0X00 前言

在.NET處理 Ajax應用的時候,通常序列化功能由JavaScriptSerializer類提供,它是.NET2.0之后內部實現的序列化功能的類,位于命名空間System.Web.Script.Serialization、通過System.Web.Extensions引用,讓開發者輕松實現.Net中所有類型和Json數據之間的轉換,但在某些場景下開發者使用Deserialize 或DeserializeObject方法處理不安全的Json數據時會造成反序列化攻擊從而實現遠程RCE漏洞,本文筆者從原理和代碼審計的視角做了相關介紹和復現。

img

0X01 JavaScriptSerializer序列化

下面先來看這個系列課程中經典的一段代碼:

img

TestClass類定義了三個成員,并實現了一個靜態方法ClassMethod啟動進程。 序列化通過創建對象實例分別給成員賦值

img

使用JavaScriptSerializer類中的Serialize方法非常方便的實現.NET對象與Json數據之間的轉化,筆者定義TestClass對象,常規下使用Serialize得到序列化后的Json

{"Classname":"360","Name":"Ivan1ee","Age":18}

從之前介紹過其它組件反序列化漏洞原理得知需要 __type這個Key的值,要得到這個Value就必須得到程序集全標識(包括程序集名稱、版本、語言文化和公鑰),那么在JavaScriptSerializer中可以通過實例化SimpleTypeResolver類,作用是為托管類型提供類型解析器,可在序列化字符串中自定義類型的元數據程序集限定名稱。筆者將代碼改寫添加類型解析器

JavaScriptSerializer jss = new JavaScriptSerializer(new SimpleTypeResolver());

這次序列化輸出程序集的完整標識,如下

{"__type":"WpfApp1.TestClass, WpfApp1, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null","Classname":"360","Name":"Ivan1ee","Age":18}

0x02 JavaScriptSerializer反序列化

2.1、反序列化用法

反序列化過程就是將Json數據轉換為對象,在JavaScriptSerializer類中創建對象然后調用DeserializeObject或Deserialize方法實現的

img

DeserializeObject方法只是在Deserialize方法上做了一層功能封裝,重點來看Deserialize方法,代碼中通過JavaScriptObjectDeserializer.BasicDeserialize方法返回object對象

img

在BasicDeserialize內部又調用了DeserializeInternal方法,當需要轉換為對象的時候會判斷字典集合中是否包含了ServerTypeFieldName常量的Key,

img

ServerTypeFieldName常量在JavaScriptSerializer類中定義的值為“__type”,

img

剝繭抽絲,忽略掉非核心方法塊ConvertObjectToType、ConvertObjectToTypeMain 、ConvertObjectToTypeInternal,最后定位到ConvertDictionaryToObject方法內

img

這段代碼首先判斷ServerTypeFieldName存在值的話就輸出賦值給對象s,第二步將對象s強制轉換為字符串變量serverTypeName,第三步獲取解析器中的實際類型,并且通過System.Activator的CreateInstance構造類型的實例

img

Activator類提供了靜態CreateInstance方法的幾個重載版本,調用方法的時候既可以傳遞一個Type對象引用,也可以傳遞標識了類型的String,方法返回對新對象的引用。下圖Demo展示了序列化和反序列化前后的效果:

img

反序列化后得到對象的屬性,打印輸出當前的成員Name的值

2.2、打造Poc

默認情況下JavaScriptSerializer不會使用類型解析器,所以它是一個安全的序列化處理類,漏洞的觸發點也是在于初始化JavaScriptSerializer類的實例的時候是否創建了SimpleTypeResolver類,如果創建了,并且反序列化的Json數據在可控的情況下就可以觸發反序列化漏洞,借圖來說明調用鏈過程

img

筆者還是選擇ObjectDataProvider類方便調用任意被引用類中的方法,具體有關此類的用法可以看一下《.NET高級代碼審計(第一課) XmlSerializer反序列化漏洞》,因為Process.Start方法啟動一個線程需要配置ProcessStartInfo類相關的屬性,例如指定文件名、指定啟動參數,所以首先得考慮序列化ProcessStartInfo,這塊可參考《.NET高級代碼審計(第三課) Fastjson反序列化漏洞》 ,之后對生成的數據做減法,去掉無關的System.RuntimeType、System.IntPtr數據,最終得到反序列化Poc

{
    '__type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35', 
    'MethodName':'Start',
    'ObjectInstance':{
        '__type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
        'StartInfo': {
            '__type':'System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
            'FileName':'cmd',
            'Arguments':'/c calc.exe'
        }
    }
}

img

筆者編寫了觸發代碼,用Deserialize<Object>反序列化Json成功彈出計算器。

img

0x03 代碼審計視角

3.1、Deserialize

從代碼審計的角度其實很容易找到漏洞的污染點,通過前面幾個小節的知識能發現需要滿足一個關鍵條件new SimpleTypeResolver() ,再傳入Json數據,就可被反序列化,例如下面的JsonHelper類

img

攻擊者只需要控制傳入字符串參數input便可輕松實現反序列化漏洞攻擊。Github上也存在大量的不安全案例代碼

img

3.2、DeserializeObject

JavaScriptSerializer還有一個反序列化方法DeserializeObject,這個方法同樣可以觸發漏洞,具體污染代碼如下

img

0x04 案例復盤

最后再通過下面案例來復盤整個過程,全程展示在VS里調試里通過反序列化漏洞彈出計算器。

  1. 輸入http://localhost:5651/Default Post加載value值

    img

  2. 通過DeserializeObject反序列化 ,并彈出計算器

img

最后附上動態效果圖

img

0x05 總結

JavaScriptSerializer憑借微軟自身提供的優勢,在實際開發中使用率還是比較高的,只要沒有使用類型解析器或者將類型解析器配置為白名單中的有效類型就可以防止反序列化攻擊(默認就是安全的序列化器),對于攻擊者來說實際場景下估計利用概率不算高,畢竟很多開發者不會使用SimpleTypeResolver類去處理數據。最后.NET反序列化系列課程筆者會同步到 https://github.com/Ivan1ee/https://ivan1ee.gitbook.io/ ,后續筆者將陸續推出高質量的.NET反序列化漏洞文章,歡迎大伙持續關注,交流,更多的.NET安全和技巧可關注實驗室公眾號。

img

本文經安全客授權發布,轉載請聯系安全客平臺。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/865/