.NET高階程式碼審計(第四課) JavaScriptSerializer反序列化漏洞
作者:Ivan1ee@360雲影實驗室
0X00 前言
在.NET處理 Ajax應用的時候,通常序列化功能由JavaScriptSerializer類提供,它是.NET2.0之後內部實現的序列化功能的類,位於名稱空間System.Web.Script.Serialization、通過System.Web.Extensions引用,讓開發者輕鬆實現.Net中所有型別和Json資料之間的轉換,但在某些場景下開發者使用Deserialize 或DeserializeObject方法處理不安全的Json資料時會造成反序列化攻擊從而實現遠端RCE漏洞,本文筆者從原理和程式碼審計的視角做了相關介紹和復現。
0X01 JavaScriptSerializer序列化
下面先來看這個系列課程中經典的一段程式碼:
TestClass類定義了三個成員,並實現了一個靜態方法ClassMethod啟動程序。 序列化通過建立物件例項分別給成員賦值
使用JavaScriptSerializer類中的Serialize方法非常方便的實現.NET物件與Json資料之間的轉化,筆者定義TestClass物件,常規下使用Serialize得到序列化後的Json
{"Classname":"360","Name":"Ivan1ee","Age":18}
從之前介紹過其它元件反序列化漏洞原理得知需要 __type這個Key的值,要得到這個Value就必須得到程式集全標識(包括程式集名稱、版本、語言文化和公鑰),那麼在JavaScriptSerializer中可以通過例項化SimpleTypeResolver類,作用是為託管型別提供型別解析器,可在序列化字串中自定義型別的元資料程式集限定名稱。筆者將程式碼改寫新增型別解析器
JavaScriptSerializer jss = new JavaScriptSerializer(new SimpleTypeResolver());
這次序列化輸出程式集的完整標識,如下
{"__type":"WpfApp1.TestClass, WpfApp1, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null","Classname":"360","Name":"Ivan1ee","Age":18}
0x02 JavaScriptSerializer反序列化
2.1、反序列化用法
反序列化過程就是將Json資料轉換為物件,在JavaScriptSerializer類中建立物件然後呼叫DeserializeObject或Deserialize方法實現的
DeserializeObject方法只是在Deserialize方法上做了一層功能封裝,重點來看Deserialize方法,程式碼中通過JavaScriptObjectDeserializer.BasicDeserialize方法返回object物件
在BasicDeserialize內部又呼叫了DeserializeInternal方法,當需要轉換為物件的時候會判斷字典集合中是否包含了ServerTypeFieldName常量的Key,
ServerTypeFieldName常量在JavaScriptSerializer類中定義的值為“__type”,
剝繭抽絲,忽略掉非核心方法塊ConvertObjectToType、ConvertObjectToTypeMain 、ConvertObjectToTypeInternal,最後定位到ConvertDictionaryToObject方法內
這段程式碼首先判斷ServerTypeFieldName存在值的話就輸出賦值給物件s,第二步將物件s強制轉換為字串變數serverTypeName,第三步獲取解析器中的實際型別,並且通過System.Activator的CreateInstance構造型別的例項
Activator類提供了靜態CreateInstance方法的幾個過載版本,呼叫方法的時候既可以傳遞一個Type物件引用,也可以傳遞標識了型別的String,方法返回對新物件的引用。下圖Demo展示了序列化和反序列化前後的效果:
反序列化後得到物件的屬性,列印輸出當前的成員Name的值
2.2、打造Poc
預設情況下JavaScriptSerializer不會使用型別解析器,所以它是一個安全的序列化處理類,漏洞的觸發點也是在於初始化JavaScriptSerializer類的例項的時候是否建立了SimpleTypeResolver類,如果建立了,並且反序列化的Json資料在可控的情況下就可以觸發反序列化漏洞,借圖來說明呼叫鏈過程
筆者還是選擇ObjectDataProvider類方便呼叫任意被引用類中的方法,具體有關此類的用法可以看一下《.NET高階程式碼審計(第一課) XmlSerializer反序列化漏洞》,因為Process.Start方法啟動一個執行緒需要配置ProcessStartInfo類相關的屬性,例如指定檔名、指定啟動引數,所以首先得考慮序列化ProcessStartInfo,這塊可參考
《.NET高階程式碼審計(第三課) Fastjson反序列化漏洞》 ,
之後對生成的資料做減法,去掉無關的System.RuntimeType、System.IntPtr資料,最終得到反序列化Poc
{ '__type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35', 'MethodName':'Start', 'ObjectInstance':{ '__type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089', 'StartInfo': { '__type':'System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089', 'FileName':'cmd', 'Arguments':'/c calc.exe' } } }
筆者編寫了觸發程式碼,用Deserialize<Object>反序列化Json成功彈出計算器。
0x03 程式碼審計視角
3.1、Deserialize
從程式碼審計的角度其實很容易找到漏洞的汙染點,通過前面幾個小節的知識能發現需要滿足一個關鍵條件new SimpleTypeResolver() ,再傳入Json資料,就可被反序列化,例如下面的JsonHelper類
攻擊者只需要控制傳入字串引數input便可輕鬆實現反序列化漏洞攻擊。Github上也存在大量的不安全案例程式碼
3.2、DeserializeObject
JavaScriptSerializer還有一個反序列化方法DeserializeObject,這個方法同樣可以觸發漏洞,具體汙染程式碼如下
0x04 案例覆盤
最後再通過下面案例來複盤整個過程,全程展示在VS裡除錯裡通過反序列化漏洞彈出計算器。
- 輸入 http://localhost:5651/Default Post載入value值
- 通過DeserializeObject反序列化 ,並彈出計算器
最後附上動態效果圖
0x05 總結
JavaScriptSerializer憑藉微軟自身提供的優勢,在實際開發中使用率還是比較高的,只要沒有使用型別解析器或者將型別解析器配置為白名單中的有效型別就可以防止反序列化攻擊(預設就是安全的序列化器),對於攻擊者來說實際場景下估計利用概率不算高,畢竟很多開發者不會使用SimpleTypeResolver類去處理資料。最後.NET反序列化系列課程筆者會同步到 https://github.com/Ivan1ee/ 、 https://ivan1ee.gitbook.io/ ,後續筆者將陸續推出高質量的.NET反序列化漏洞文章,歡迎大夥持續關注,交流,更多的.NET安全和技巧可關注實驗室公眾號。