.net反序列化萌新入门--BinaryFormatter
2022-10-19 18:7:4 Author: M01N Team(查看原文) 阅读量:24 收藏

BinaryFormatter简介

BinaryFormatter位于命名空间:System.Runtime.Serialization.Formatters.Binary,以二进制格式序列化和反序列化对象。BinaryFormatter因为其强大的功能和易用性而广泛用于整个.NET生态系统。但是,其强大的功能也让攻击者能够影响目标应用内的控制流。成功的攻击可能导致攻击者能够在目标进程的上下文中运行代码。

更简单的比喻是,假设在有效负载上调用BinaryFormatter.Deserialize相当于将该有效负载解释为独立的可执行文件并启动它。更多内容可以看官网介绍:使用BinaryFormatter和相关类型时的反序列化风险(https://learn.microsoft.com/zh-cn/dotnet/standard/serialization/binaryformatter-security-guide

01 BinaryFormatter序列化和反序列化 

首先我们定义一个Person类

初始化并序列化输出和反序列化

BinaryFormatter反序列化命令执行不需要控制type类型,只需要能控制传入的值即可,如果你看过ysoserial的源码可以发现,BinaryFormatter反序列化攻击链主要基于两条链,一条是TextFormattingRunProperties,另一条是TypeConfuseDelegate,其他攻击链多是在这两条链的基础上进行封装。

02 TextFormattingRunProperties

我们看一下ysoserial是如何生成TextFormattingRunProperties的payload的,代码在TextFormattingRunPropertiesGenerator.cs中。242行的TextFormattingRunPropertiesGadget()中可以看到生成了一个xaml_payload,并将其传入TextFormattingRunPropertiesMarshal(xaml_payload)从而获取最终的payload。

在TextFormattingRunPropertiesMarshal(xaml_payload)中,xaml_payload被设置给ForegroundBrush。

为什么是ForegroundBrush?我们可以跟入TextFormattingRunProperties看一下。在序列化函数中,执行了this.GetObjectFromSerializationInfo(nameof (ForegroundBrush), info)。

跟进GetObjectFromSerializationInfo(),看到了什么?XamlReader.Parse()!至此就衔接上了ObjectDataProvider的xaml_payload,这部分在前面.NET反序列化利用链萌新入门——XmlSerializer有过介绍。

至于为什么用ForegroundBrush,不用其他的参数,因为缺少ForegroundBrush会报错。

至此可以构造以下攻击链:

实现ISerializable接口-->在GetObjectData序列化时给ForegroundBrush字段赋值为xaml的payload,并且将对象类型赋值为TextFormattingRunProperties类-->在反序列化时触发反序列化构造函数GetObjectFromSerializationInfo-->反序列化构造函数触发XamlReader.Parse(payload) RCE

需要注意的是TextFormattingRunProperties 类位于命名空间:Microsoft.VisualStudio.Text.Formatting。其在Microsoft.VisualStudio.Text.UI.Wpf.dll和Microsoft.PowerShell.Editor.dll程序集中都有实现,前者需要安装Visual Studio,而后者则是PowerShell自带。所以目标环境没有安装VS也是可以使用这个类的。

最终反序列化虽然执行成功,但依然会报错。那么为什么我们会报错呢?因为XamlReader.Parse() 解析出来的是一个ResourceDictionary类型实例,我们将其赋值给Media.Brush类型的变量,所以会导致报错。

03 总结

BinaryFormatter反序列化还有许多攻击链,但大多都是在TextFormattingRunProperties链的基础上进行相应的封装。而TextFormattingRunProperties则是封装的XamlReader.Parse() ,借助ObjectDataProvider的Xaml payload可以实现代码执行。也就是说,我们在使用BinaryFormatter反序列化TextFormattingRunProperties封装的数据时,最终会落到XamlReader进行反序列化。

参考

https://xz.aliyun.com/t/9593

https://zhuanlan.zhihu.com/p/333316520

https://zhuanlan.zhihu.com/p/333701103

http://www.hackdig.com/05/hack-356873.htm

https://mp.weixin.qq.com/s/2s457-XCm4XSCjK5NsMv6g#at

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

.net反序列化萌新入门--Json.Net

.NET反序列化利用链萌新入门——XmlSerializer


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247489910&idx=1&sn=377dd6e9a509255048d11586b1a1ba78&chksm=c187d967f6f050713162ab448b0934427b3335b2d081a7134745bc1a35207ad8f15536f65796#rd
如有侵权请联系:admin#unsafe.sh