C#反序列化漏洞

最新推荐文章于 2023-11-17 09:19:54 发布
最新推荐文章于 2023-11-17 09:19:54 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: 安全学习 文章标签: 安全 安全漏洞 c# 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47968686/article/details/119825164
版权

CVE-2020-0688反序列化漏洞

漏洞成因

漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。

环境、工具

WinServer2016、Exchange Server2016、win10、dnspy

分析

default.aspx被解析,继承Page类(Page类位于命名空间 System.Web.UI)派生出新的类,然后,动态生成的类会被编译为程序集,该程序集之后会被缓存到ASP.Net专用的临时目录下。

(1)逆分析

寻找__VIEWSTATE参数。

因为最终继承Page,所以在Page类中寻找参数__VIEWSTATE。

在这里插入图片描述

发现在RequestViewStateString方法中,745行,获取了该值。

使用dnspy分析方法RequestViewStateString,发现有四处被使用的地方。

在这里插入图片描述

其中前俩处未找到关于反序列化的点。

在HiddenFieldPageStatePersister类中的Load方法找到反序列化触发点27行

在这里插入图片描述

往回寻找实现类HiddenFieldPageStatePersister的地方,在LoadPageSateFromPersistenceMedium方法1689行调用了Load方法。LoadPageSateFromPersistenceMedium方法中此语句

PageStatePersister pageStatePersister = this.PageStatePersister;

最终实现的都是HiddenFieldPageStatePersister类。

在这里插入图片描述

再往回分析LoadAllState方法中1649行调用了LoadPageSateFromPersistenceMedium方法。而LoadAllState方法在ProcessRequestMain方法中4403行被实现,而default.aspx处理请求时最终都会调用ProcessRequestMain方法。

在这里插入图片描述

(2)顺序分析

触发反序列化的路径已经很清晰了如下图。

在这里插入图片描述

紧接着分析进入到最后触发反序列化点的条件。

首先在ProcessRequestMain方法中,满足条件this.IsPostBack,即可进入LoadAllState()方法,而进入LoadAllState方法以后就很顺利的可以到达漏洞触发点。

在这里插入图片描述

(3)序列化漏洞分析

在上文提到在HiddenFieldPageStatePersister类中27行找到了序列化漏洞点。

在这里插入图片描述

紧接着对序列化函数进行分析,经过分析ObjectStateFormatter类中实现了IFormatter接口中

Deserialize(string serializedState)方法,而ObjectStateFormatter类也属于命名空间中System.Web.UI类。

紧接着查看反序列化实现的过程。

找到序列化函数,其中inputString就是我们输入进去的__VIEWSTATE参数。(以下步骤决定了我们构造反序列化能否成功的被解密)

在这里插入图片描述

首先inputString从Base64转成byte数据,最终根据条选择使用MachineKeySection.EncryptOrDecryptData()解密还是 MachineKeySection.GetDecodedData()解密

在这里插入图片描述

而加密解密使用的密钥在this.acKeyModifier()方法中获得。使用到viewStateUserKey,__VIEWSTATEGENERATOR,validationKey。其中viewStateUserKey可在cookie中找到,后面两者是定值(漏洞触发的关键)。
viewstate加密解密可参考

在这里插入图片描述

解决了加密的问题就反序列化就可以被顺利的触发了。

(4)工具ysoserial.net

使用ysoserial.net工具可以自动生成payload.

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "cmd /c calc.exe" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey=""

生成的结果再进行url编码,访问以下url
/ecp/default.aspx?__VIEWSTATEGENERATOR=&__VIEWSTATE=
https://github.com/pwntester/ysoserial.net

_@飞龙在天
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
金蝶云星空RCE漏洞复现
0xSec
06-21 9080
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
谨防.NET方法的反序列化+通过粘贴执行代码
mozhe_的博客
12-19 190
鉴于.NET Framework 中对反序列化问题的实际利用,信息保障公司NCC Group的研究者认为识别.NET Framework 4.7.2方法和使用反序列化的类可能是有用的,因为它可以帮助安全研究人员和开发人员找到并解决潜在问题。研究的初步结果可以从以下网址下载: https://www.nccgroup.trust/uk/our-research/use-of-deserialisa...
中间件漏洞 -- JBoss
weixin_44769042的博客
11-17 4187
中间件漏洞记录--5 jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。默认端口:8080,9990 目录 一、JBoss JMXInvokerServlet 反序列化漏洞 1、环境搭建:docker + vulh...
asp.net反序列化的思考和总结
zkaqlaoniao的博客
11-04 242
这篇文章是在Y4er博客和ysoserial.net项目上,总结出的一些关键东西和我自己的思考,希望可以对大家有所帮助。
学习笔记-.net安全之XmlSerializer反序列化
人饭子的博客
11-07 732
0x00 简介 反序列化学习主要用到如下资料: 1..NET反序列化payload生成工具ysoserial.net。 2.attacking-net-serialization其中列举了多种反序列化漏洞。 3.BH_US_12_Forshaw_Are_You_My_Type_WP.pdf 0x01 XmlSerializer序列化 System.Xml.Serialization.XmlS...
WEB攻防-PHP反序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel利用
siu~
11-17 294
#知识点: 1、PHP-反序列化-开发框架类项目 2、PHP-反序列化-Payload生成项目 3、PHP-反序列化-Payload生成综合项目
ysoserial.net:用于各种.NET格式化程序的反序列化有效负载生成器
05-12
一种概念证明工具,用于生成利用不安全.NET对象反序列化的有效负载。 描述 ysoserial.net是在通用.NET库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用.NET应用程序执行对象的不安全反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列化为stdout。 当在类路径上具有必需小工具的应用程序不安全反序列化此数据时,该链将自动被调用并导致命令在应用程序主机上执行。 应该注意的是,漏洞在于应用程序执行不安全反序列化,而不是在类路径上具有小工具。 该项目的灵感来自 免责声明 该软件的创建纯粹是为了学术研究和有效防御技术的发展,除非明确授权,否则不得将其用于攻击系统。 项目维护者对软件的滥用不承担任何责任。 负责任地使用。 该软件是一个个人项目,与任何公司都没有关系,包括项目所有者和贡献者的雇主。 安装
asp.net 中 viewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 5480
0x00 前言 asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞
Json.NET反序列化漏洞生成Ysoserial攻击Payload
ahhacker86的专栏
11-14 92
如果想使用ObjectInstance就必须创建类的实例,然而Process类在实例化时BasePriority、ExitCode等多个属性在Json.NET序列化的时候抛出异常,导致序列化失败。从$type类型得知序列化使用了ObjectDataProvider类,MethodParameters.Add方法的参数是一个ArrayList集合,既然知道了原理我们尝试序列化出Ysoserial这段攻击载荷,TestClass.ClassMethod()内部调用Process.Start启动进程,
.NET反序列化利用链入门——XmlSerializer
小王的储物间
03-15 234
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
ThinkPHP6.0反序列化漏洞
m0_47968686的博客
01-21 5964
ThinkPHP6.0反序列化漏洞 前言 在学习大师傅们的thinkPHP6.0.x的反序列化漏洞复现文章时,发现自己下载的TP版本是被修复过后的版本。于是更改一下旧链达到RCE。在看本文章前先去看一下上述提到的大师傅的文章。 修补之处 __destruct链触发走的路一样 __toString链最终利用点不同 在旧版本当中,trait Attribute中499行else里面就是最终执行动态函数的地方,所以需要绕过496行的if语句。 但是我复现的时候发现了新版本做了更改即使绕过了496处的if语句在e
padding oracle攻击
m0_47968686的博客
10-22 2646
密码侧信道分析 0x01 前言 紧接着上一篇文章exchange获取cookie ,通过SSRF与XSS的配合得到了用户的cookie。 cookie中的cadata值就是用户名跟密码经过加密后得到的一串字符串。所以本次任务我们就是通过侧信道分析解密用户名跟密码。 0x11 CBC加密模式 首先我们要了解什么是CBC模式,CBC模式又称为密码分组链接模式(Cipher Block Chaining)。首先将明文分块,分成等长的明文模块。另外还有一个初始化向量IV,IV一般是随机生成。首先将第一块明文与初始化
python内网主机存活探测
m0_47968686的博客
01-30 1727
python内网主机存活探测 实验环境 1.在Ubuntu系统下进行发包 2.使用python中的scapy模块 ARP知识 ​ ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。 在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但
构造ARP包发包
m0_47968686的博客
01-30 1701
构造ARP包进行arp欺骗 arp分为请求包以及响应包 Opcode中的代码表示请求以及响应 使用wireshark抓包可见,Opcode为1可知这是一个请求包 再来看看响应包,它的Opcode为2 在使用scapy模块构造,arp应答包时,我们采用的是第二层发包(就是根据我们第二层中的封装的帧头来发包) ptk2 = Ether()/ARP()#构造数据包 ptk2[ARP].op = 2#设置为应答包 ptk2[ARP].psrc = '192.168.0.1'#我们想要冒充的ip地址 ptk2[
weblogict3反序列化漏洞
最新发布
12-05
WebLogic T3协议是WebLogic Server的默认协议,用于客户端与服务器之间的通信。WebLogic T3反序列化漏洞是一种Java反序列化漏洞,攻击者可以利用该漏洞在未授权的情况下远程执行任意代码。攻击者可以通过发送精心构造的序列化对象来利用此漏洞,从而导致服务器上的代码执行。以下是利用WebLogic T3反序列化漏洞的攻击过程: 1. 攻击者通过信息收集获取WebLogic Server的版本信息和WebLogic T3协议的端口号。 2. 攻击者使用Java反序列化漏洞利用工具构造恶意序列化对象。 3. 攻击者向WebLogic Server发送恶意序列化对象。 4. WebLogic Server接收到恶意序列化对象后,会自动反序列化该对象并执行其中的恶意代码。 为了防止WebLogic T3反序列化漏洞的攻击,建议您采取以下措施: 1. 及时更新WebLogic Server的补丁程序,以修复已知的漏洞。 2. 禁用WebLogic T3协议,或者限制WebLogic T3协议的访问权限。 3. 对WebLogic Server进行安全加固,包括但不限于限制访问权限、加强身份认证、加密通信等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值