溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
JavaScript Serializer反序列化漏洞是怎樣的,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。
在.NET處理 Ajax應用的時候,通常序列化功能由JavaScriptSerializer類提供,它是.NET2.0之后內部實現的序列化功能的類,位于命名空間System.Web.Script.Serialization、通過System.Web.Extensions引用,讓開發者輕松實現.Net中所有類型和Json數據之間的轉換,但在某些場景下開發者使用Deserialize 或DeserializeObject方法處理不安全的Json數據時會造成反序列化攻擊從而實現遠程RCE漏洞。筆者從原理和代碼審計的視角做了相關介紹和復現。
.NET高級代碼審計之XmlSerializer反序列化漏洞
.NET高級代碼審計(第二課) Json.Net反序列化漏洞
.NET高級代碼審計(第三課)Fastjson反序列化漏洞
下面先來看這個系列課程中經典的一段代碼:
TestClass類定義了三個成員,并實現了一個靜態方法ClassMethod啟動進程。序列化通過創建對象實例分別給成員賦值
使用JavaScriptSerializer類中的Serialize方法非常方便的實現.NET對象與Json數據之間的轉化,筆者定義TestClass對象,常規下使用Serialize得到序列化后的Json
從之前介紹過其它組件反序列化漏洞原理得知需要__type這個Key的值,要得到這個Value就必須得到程序集全標識(包括程序集名稱、版本、語言文化和公鑰),那么在JavaScriptSerializer中可以通過實例化SimpleTypeResolver類,作用是為托管類型提供類型解析器,可在序列化字符串中自定義類型的元數據程序集限定名稱。筆者將代碼改寫添加類型解析器
這次序列化輸出程序集的完整標識,如下
反序列化過程就是將Json數據轉換為對象,在JavaScriptSerializer類中創建對象然后調用DeserializeObject或Deserialize方法實現的。
在BasicDeserialize內部又調用了DeserializeInternal方法,當需要轉換為對象的時候會判斷字典集合中是否包含了ServerTypeFieldName常量的Key,
ServerTypeFieldName常量在JavaScriptSerializer類中定義的值為“__type”,
剝繭抽絲,忽略掉非核心方法塊ConvertObjectToType、ConvertObjectToTypeMain 、ConvertObjectToTypeInternal,最后定位到ConvertDictionaryToObject方法內
這段代碼首先判斷ServerTypeFieldName存在值的話就輸出賦值給對象s,第二步將對象s強制轉換為字符串變量serverTypeName,第三部獲取解析器中的實際類型,并且通過System.Activator的CreateInstance構造類型的實例
Activator類提供了靜態CreateInstance方法的幾個重載版本,調用方法的時候既可以傳遞一個Type對象引用,也可以傳遞標識了類型的String,方法返回對新對象的引用。下圖Demo展示了序列化和反序列化前后的效果:
反序列化后得到對象的屬性,打印輸出當前的成員Name的值
默認情況下JavaScriptSerializer不會使用類型解析器,所以它是一個安全的序列化處理類,漏洞的觸發點也是在于初始化JavaScriptSerializer類的實例的時候是否創建了SimpleTypeResolver類,如果創建了,并且反序列化的Json數據在可控的情況下就可以觸發反序列化漏洞,借圖來說明調用鏈過程
筆者還是選擇ObjectDataProvider類方便調用任意被引用類中的方法,具體有關此類的用法可以看一下《.NET高級代碼審計(第一課) XmlSerializer反序列化漏洞》,因為Process.Start方法啟動一個線程需要配置ProcessStartInfo類相關的屬性,例如指定文件名、指定啟動參數,所以首先得考慮序列化ProcessStartInfo,這塊可參考《.NET高級代碼審計(第三課) Fastjson反序列化漏洞》 ,之后對生成的數據做減法,去掉無關的System.RuntimeType、System.IntPtr數據,最終得到反序列化Poc
筆者編寫了觸發代碼,用Deserialize<Object>反序列化Json成功彈出計算器
從代碼審計的角度其實很容易找到漏洞的污染點,通過前面幾個小節的知識能發現需要滿足一個關鍵條件new SimpleTypeResolver() ,再傳入Json數據,就可被反序列化,例如下面的JsonHelper類
攻擊者只需要控制傳入字符串參數input便可輕松實現反序列化漏洞攻擊。Github上也存在大量的不安全案例代碼
JavaScriptSerializer還有一個反序列化方法DeserializeObject,這個方法同樣可以觸發漏洞,具體污染代碼如下
最后再通過下面案例來復盤整個過程,全程展示在VS里調試里通過反序列化漏洞彈出計算器。
1. 輸入http://localhost:5651/Default Post加載value值
2. 通過DeserializeObject 反序列化 ,并彈出計算器
最后附個動態圖:
JavaScriptSerializer憑借微軟自身提供的優勢,在實際開發中使用率還是比較高的,只要沒有使用類型解析器或者將類型解析器配置為白名單中的有效類型就可以防止反序列化攻擊(默認就是安全的序列化器),對于攻擊者來說實際場景下估計利用概率不算高,畢竟很多開發者不會使用SimpleTypeResolver類去處理數據。
看完上述內容,你們掌握JavaScript Serializer反序列化漏洞是怎樣的的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
