.NET高級代碼審計(第二課) Json.Net反序列化漏洞

来源:https://www.cnblogs.com/Ivan1ee/archive/2019/03/11/10509377.html
-Advertisement-
Play Games

0X00 前言 Newtonsoft.Json,這是一個開源的Json.Net庫,官方地址:https://www.newtonsoft.com/json ,一個讀寫Json效率非常高的.Net庫,在做開發的時候,很多數據交換都是以json格式傳輸的。而使用Json的時候,開發者很多時候會涉及到幾個 ...


0X00 前言

Newtonsoft.Json,這是一個開源的Json.Net庫,官方地址:https://www.newtonsoft.com/json ,一個讀寫Json效率非常高的.Net庫,在做開發的時候,很多數據交換都是以json格式傳輸的。而使用Json的時候,開發者很多時候會涉及到幾個序列化對象的使用:DataContractJsonSerializer,JavaScriptSerializer 和 Json.NET即Newtonsoft.Json。大多數人都會選擇性能以及通用性較好Json.NET,這個雖不是微軟的類庫,但卻是一個開源的世界級的Json操作類庫,從下麵的性能對比就可以看到它的性能優點。

用它可輕鬆實現.Net中所有類型(對象,基本數據類型等)同Json之間的轉換,在帶來便捷的同時也隱藏了很大的安全隱患,在某些場景下開發者使用DeserializeObject方法序列化不安全的數據,就會造成反序列化漏洞從而實現遠程RCE攻擊,本文筆者從原理和代碼審計的視角做了相關介紹和復現。

 

 

0X01 Json.Net序列化

在Newtonsoft.Json中使用JSONSerializer可以非常方便的實現.NET對象與Json之間的轉化,JSONSerializer把.NET對象的屬性名轉化為Json數據中的Key,把對象的屬性值轉化為Json數據中的Value,如下Demo,定義TestClass對象

並有三個成員,Classname在序列化的過程中被忽略(JsonIgnore),此外實現了一個靜態方法ClassMethod啟動進程。 序列化過程通過創建對象實例分別給成員賦值,

用JsonConvert.SerializeObject得到序列化後的字元串

Json數據中並沒有包含方法ClassMethod,因為它是靜態方法,不參與實例化的過程,自然在testClass這個對象中不存在。這就是一個最簡單的序列化Demo。為了儘量保證序列化過程不拋出異常,筆者引入 SerializeObject方法的第二個參數並實例化創建JsonSerializerSettings,下麵列出屬性

修改代碼添加 TypeNameAssemblyFormatHandling.Full、TypeNameHandling.ALL

將代碼改成這樣後得到的testString變數值才是筆者想要的,列印的數據中帶有完整的程式集名等信息。

0x02 Json.Net反序列化

2.1、反序列化用法

反序列過程就是將Json字元串轉換為對象,通過創建一個新對象的方式調用JsonConvert.DeserializeObject方法實現的,傳入兩個參數,第一個參數需要被序列化的字元串、第二個參數設置序列化配置選項來指定JsonSerializer按照指定的類型名稱處理,其中TypeNameHandling可選擇的成員分為五種

 

 

預設情況下設置為TypeNameHandling.None,表示Json.NET在反序列化期間不讀取或寫入類型名稱。具體代碼可參考以下

2.2、攻擊向量—ObjectDataProvider

漏洞的觸發點也是在於TypeNameHandling這個枚舉值,如果開發者設置為非空值、也就是對象(Objects) 、數組(Arrays) 、自動識別 (Auto) 、所有值(ALL) 的時候都會造成反序列化漏洞,為此官方文檔里也標註了警告,當您的應用程式從外部源反序列化JSON時應謹慎使用TypeNameHandling。

筆者繼續選擇ObjectDataProvider類方便調用任意被引用類中的方法,具體有關此類的用法可以看一下《.NET高級代碼審計(第一課)XmlSerializer反序列化漏洞》,首先來序列化TestClass 

指定TypeNameHandling.All、TypeNameAssemblyFormatHandling.Full後得到序列化後的Json數據

如何構造System.Diagnostics.Process序列化的Json字元串呢?筆者需要做的工作替換掉ObjectInstance的$type、MethodName的值以及MethodParameters的$type值,刪除一些不需要的Member、最終得到的反序列話Json數據如下

再經過JsonConvert.DeserializeObject反序列化(註意一點指定TypeNameHandling的值一定不能是None),成功彈出計算器。

 

2.3、攻擊向量—WindowsIdentity

WindowsIdentity類位於System.Security.Principal命名空間下。顧名思義,用於表示基於Windows認證的身份,認證是安全體系的第一道屏障肩負著守護著整個應用或者服務的第一道大門,此類定義了Windows身份一系列屬性

對於用於表示認證類型的AuthenticationType屬性來說,在工作組模式下返回NTLM。對於域模式,如果操作系統是Vista或者以後的版本,該屬性返回Negotiate,表示採用SPNEGO認證協議。而對於之前的Windows版本,則該屬性值為Kerberos。Groups屬性返回WindowsIdentity對應的Windows帳號所在的用戶組(User Group),而IsGuest則用於判斷Windows帳號是否存在於Guest用戶組中。IsSystem屬性則表示Windows帳號是否是一個系統帳號。對於匿名登錄,IIS實際上會採用一個預先指定的Windows帳號進行登錄。而在這裡,IsAnonymous屬性就表示該WindowsIdentity對應的Windows帳號是否是匿名帳號。

2.3.1、ISerializable

跟蹤定義得知繼承於ClaimsIdentity類,並且實現了ISerializable介面

查看定義得知,只有一個方法GetObjectData

在.NET運行時序列化的過程中CLR提供了控制序列化數據的特性,如:OnSerializing、OnSerialized、NonSerialized等。為了對序列化數據進行完全控制,就需要實現Serialization.ISeralizable介面,這個介面只有一個方法,即 GetObjectData,第一個參數SerializationInfo包含了要為對象序列化的值的合集,傳遞兩個參數給它:Type和IFormatterConverter,其中Type參數表示要序列化的對象全名(包括了程式集名、版本、公鑰等),這點對於構造惡意的反序列化字元串至關重要

另一方面GetObjectData又調用SerializationInfo 類提供的AddValue多個重載方法來指定序列化的信息,AddValue添加的是一組<key,value> ;GetObjectData負責添加好所有必要的序列化信息。

2.3.2、ClaimsIdentity

ClaimsIdentity(聲稱標識)位於System.Security.Claims命名空間下,首先看下類的定義

其實就是一個個包含了claims構成的單元體,舉個慄子:駕照中的“身份證號碼:000000”是一個claim、持證人的“姓名: Ivan1ee”是另一個claim、這一組鍵值對構成了一個Identity,具有這些claims的Identity就是ClaimsIdentity,通常用在登錄Cookie驗證,如下代碼

一般使用的場景我想已經說明白了,現在來看下類的成員有哪些,能賦值的又有哪些?參考官方文檔可以看到 Lable、BootstrapContext、Actor三個屬性具備了set

查閱文檔可知,這幾個屬性的原始成員分別為actor、bootstrapContext、lable如下

ClaimsIdentity類初始化方法有兩個重載,並且通過前文介紹的SerializationInfo來傳入數據,最後用Deserialize反序列化數據。

追溯的過程有點像框架類的代碼審計,跟蹤到Deserialize方法體內,查找BootstrapContextKey才知道原來它還需要被外層base64解碼後帶入反序列化

2.3.3、打造Poc

回過頭來想一下,如果使用GetObjectData類中的AddValue方法添加“key : System.Security.ClaimsIdentity.bootstrapContext“、”value :  base64編碼後的payload“,最後實現System.Security.Principal.WindowsIdentity.ISerializable介面就能攻擊成功。首先定義WindowsIdentityTest類

筆者用ysoserial生成反序列化Base64 Payload賦值給BootstrapContextKey,實現代碼如下

到這步生成變數obj1的值就是一段poc,但還需改造一下,將$type值改為System.Security.Principal.WindowsIdentity完全限定名

最後改進後交給反序列化代碼執行,拋出異常之前觸發計算器,效果如下圖

0x03 代碼審計視角

從代碼審計的角度其實很容易找到漏洞的污染點,通過前面幾個小節的知識能發現需要滿足一個關鍵條件非TypeNameHandling.None的枚舉值都可以被反序列化,例如以下Json類

都設置成TypeNameHandling.All,攻擊者只需要控制傳入參數 _in便可輕鬆實現反序列化漏洞攻擊。Github上很多的json類存在漏洞,例如下圖

 

 

代碼中改用了Auto這個值,只要不是None值在條件許可的情況下都可以觸發漏洞,筆者相信肯定還有更多的漏洞污染點,需要大家在代碼審計的過程中一起去發掘。

0x04 案例復盤

最後再通過下麵案例來複盤整個過程,全程展示在VS里調試里通過反序列化漏洞彈出計算器。

1. 輸入http://localhost:5651/Default Post載入value值

2. 通過JsonConvert.DeserializeObject 反序列化 ,並彈出計算器

最後附上動圖

0x05 總結

Newtonsoft.Json庫在實際開發中使用率還是很高的,攻擊場景也較豐富,作為漏洞挖掘者可以多多關註這個點,攻擊向量建議選擇ObjectDataProvider,只因生成的Poc體積相對較小。最後.NET反序列化系列課程筆者會同步到 https://github.com/Ivan1ee/https://ivan1ee.gitbook.io/ ,後續筆者將陸續推出高質量的.NET反序列化漏洞文章,請大伙持續關註。


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 1.北斗協議的具體格式如下圖 2.數據包類型 根據北斗協議類型定義如下枚舉類型 3.基礎類封裝 BDBaseFrame,使用 IByteBuffer 類來封裝數據包,IByteBuffer 內置提供了很多位元組操作方法(read,write) 4.具體數據包類型封裝 PositionFrame 5.d ...
  • 參考資料 [1] 毛星雲【《Effective C 》提煉總結】 https://zhuanlan.zhihu.com/p/24553860 [2] 《C 捷徑教程》 [3] 什麼時候使用值類型?什麼時候使用引用類型? https://www.cnblogs.com/LittleFeiHu/p/44 ...
  • 就用查省市為例,別人還沒查就把所有都弄好,很浪費資源和時間,redis是為了存儲常用的查詢操作的[結果],以此來減少直接查詢資料庫的次數,以下內容僅供參考,請勿照抄。(如有說得不好之處,請指點。) 言歸正傳,第一個方法也就是查省市的入口,這個方法可以依照各自的需要寫成自己需要的方法如:(provin ...
  • 問題 將 SignalR 集成到 ASP.NET Core MVC 程式的時候,按照官方 DEMO 配置完成,但使用 DEMO 頁面建立連接一直提示如下信息。 原始代碼: 原因 出現該問題的原因是由於 CORS 策略設置不正確造成的,原始設置我是允許所有 Origin 來源。但是由於 dotnetC ...
  • split的使用: 1、使用char()字元分隔:根據單個的char()類型的進行分隔 代碼如下: 2、利用多個字元來分隔字元串 代碼如下: 3、用字元串進行分隔 使用字元串進行分隔需要藉助C#的正則表達式,也就是需要使用Regex類。在Regex的Split方法中:第一個參數為需要分隔的字元串、第 ...
  • string類型不能被繼承,它是密封類,sealed。 一、字元串的特性。 1、不可變性。 2、字元串池。 二、常用方法。 方法不一一寫出來了。 tringbuilder的使用。 大量拼接字元串的時候用。效率比string高。使用: ...
  • 一. MVC介紹 MVC架構模式有助於實現關註點分離。視圖和控制器均依賴於模型。 但是,模型既不依賴於視圖,也不依賴於控制器。 這是分離的一個關鍵優勢。 這種分離允許模型獨立於可視化展示進行構建和測試。ASP.NET Core MVC 包括以下功能: 路由、模型綁定、模型驗證、依賴關係註入、篩選器、 ...
  • 通過前面的教程學習,你可以實現一個簡單的書籍管理系統。 在本教程將向書籍索引頁中添加分頁功能。 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...