freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

.net反序列化萌新入门--BinaryFormatter
  • 关注
.net反序列化萌新入门--BinaryFormatter
2022-12-01 16:44:28
所属地 北京

BinaryFormatter简介

BinaryFormatter位于命名空间:System.Runtime.Serialization.Formatters.Binary,以二进制格式序列化和反序列化对象。BinaryFormatter因为其强大的功能和易用性而广泛用于整个.NET生态系统。但是,其强大的功能也让攻击者能够影响目标应用内的控制流。成功的攻击可能导致攻击者能够在目标进程的上下文中运行代码。

更简单的比喻是,假设在有效负载上调用BinaryFormatter.Deserialize相当于将该有效负载解释为独立的可执行文件并启动它。更多内容可以看官网介绍:使用BinaryFormatter和相关类型时的反序列化风险(https://learn.microsoft.com/zh-cn/dotnet/standard/serialization/binaryformatter-security-guide)

01 BinaryFormatter序列化和反序列化 

首先我们定义一个Person类

1669882572_638862ccc7eea123e9993.png!small?1669882574326

初始化并序列化输出和反序列化

1669882588_638862dcf0f99127db04b.png!small?1669882590284

BinaryFormatter反序列化命令执行不需要控制type类型,只需要能控制传入的值即可,如果你看过ysoserial的源码可以发现,BinaryFormatter反序列化攻击链主要基于两条链,一条是TextFormattingRunProperties,另一条是TypeConfuseDelegate,其他攻击链多是在这两条链的基础上进行封装。

02 TextFormattingRunProperties

我们看一下ysoserial是如何生成TextFormattingRunProperties的payload的,代码在TextFormattingRunPropertiesGenerator.cs中。242行的TextFormattingRunPropertiesGadget()中可以看到生成了一个xaml_payload,并将其传入TextFormattingRunPropertiesMarshal(xaml_payload)从而获取最终的payload。

1669882601_638862e9241755973f26f.png!small?1669882602502

在TextFormattingRunPropertiesMarshal(xaml_payload)中,xaml_payload被设置给ForegroundBrush。

1669882613_638862f5666fddf65a3d6.png!small?1669882614982

为什么是ForegroundBrush?我们可以跟入TextFormattingRunProperties看一下。在序列化函数中,执行了this.GetObjectFromSerializationInfo(nameof (ForegroundBrush), info)。

1669882624_6388630017ff2a5f2f870.png!small?1669882625537

跟进GetObjectFromSerializationInfo(),看到了什么?XamlReader.Parse()!至此就衔接上了ObjectDataProvider的xaml_payload,这部分在前面.NET反序列化利用链萌新入门——XmlSerializer有过介绍。

1669882644_6388631435181c2f01a6f.png!small?1669882645555

至于为什么用ForegroundBrush,不用其他的参数,因为缺少ForegroundBrush会报错。

1669882664_638863284e4d55f8476f6.png!small?1669882665647

至此可以构造以下攻击链:

实现ISerializable接口-->在GetObjectData序列化时给ForegroundBrush字段赋值为xaml的payload,并且将对象类型赋值为TextFormattingRunProperties类-->在反序列化时触发反序列化构造函数GetObjectFromSerializationInfo-->反序列化构造函数触发XamlReader.Parse(payload) RCE

需要注意的是TextFormattingRunProperties 类位于命名空间:Microsoft.VisualStudio.Text.Formatting。其在Microsoft.VisualStudio.Text.UI.Wpf.dll和Microsoft.PowerShell.Editor.dll程序集中都有实现,前者需要安装Visual Studio,而后者则是PowerShell自带。所以目标环境没有安装VS也是可以使用这个类的。

最终反序列化虽然执行成功,但依然会报错。那么为什么我们会报错呢?因为XamlReader.Parse() 解析出来的是一个ResourceDictionary类型实例,我们将其赋值给Media.Brush类型的变量,所以会导致报错。

1669882678_638863368cf5caf499a75.png!small?1669882680048

03 总结

BinaryFormatter反序列化还有许多攻击链,但大多都是在TextFormattingRunProperties链的基础上进行相应的封装。而TextFormattingRunProperties则是封装的XamlReader.Parse() ,借助ObjectDataProvider的Xaml payload可以实现代码执行。也就是说,我们在使用BinaryFormatter反序列化TextFormattingRunProperties封装的数据时,最终会落到XamlReader进行反序列化。

参考

https://xz.aliyun.com/t/9593

https://zhuanlan.zhihu.com/p/333316520

https://zhuanlan.zhihu.com/p/333701103

http://www.hackdig.com/05/hack-356873.htm

https://mp.weixin.qq.com/s/2s457-XCm4XSCjK5NsMv6g#at

# 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
BinaryFormatter简介
    01 BinaryFormatter序列化和反序列化 
      02 TextFormattingRunProperties
        03 总结