安全矩阵

 找回密码
 立即注册
搜索
查看: 1928|回复: 0

实战 | .NET高级代码审计(第15课)反序列化Gadget之ExpandedWrapper

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-6-26 23:58:04 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-6-27 00:00 编辑

实战 | .NET高级代码审计(第15课)反序列化Gadget之ExpandedWrapper
HACK学习呀
2022-06-25 09:17 发表于广东
转载地址:实战 | .NET高级代码审计(第15课)反序列化Gadget之ExpandedWrapper
以下文章来源于dotNet安全矩阵 ,作者Ivan1ee

0x01 背景
ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用,完美的扩展了两个泛型类且它的公开的属性可以存储投影结果,正是由于
提供了这么多强大的功能才被反序列化漏洞发现利用起来,由于太过于特殊很少被用到,微软官方在类的备注上也做了说明:WCF数据服务的基础设施,
不建议直接在代码里用,既然提到了WCF,那么就简单的介绍下WCF是什么?WCF 全称 Windows Communication Foundation 是微软设计支持程序通讯的
应用框架,WCF几乎涵盖了所有.NET Framework 中的通信方法,为其提供了统一的API接口,以及灵活的配置方案,解决Web Service,.NET Remoting以及
Winsock等各个框架之间切换通信的问题。实际中的ExpandedWrapper为了解决 WCF Data Services 扩展查询需求而设计的,请阅读者保持好奇心跟随笔者一探究竟吧!如下是摘自微软官方介绍
  1. /// <remarks>此类支持WCF数据服务基础设施,不建议直接从代码中使用。</remarks>
  2.     [System.Diagnostics.CodeAnalysis.SuppressMessage("Microsoft.MSInternal", "CA903", Justification = "Type is already under System namespace.")]
  3.     [System.ComponentModel.EditorBrowsable(System.ComponentModel.EditorBrowsableState.Never)]
  4.     public sealed class ExpandedWrapper<TExpandedElement, TProperty0> : ExpandedWrapper<TExpandedElement>
  5.     {
  6.         public TProperty0 ProjectedProperty0 { get; set; }
  7.         protected override object InternalGetExpandedPropertyValue(int nameIndex)
  8.         {
  9.             if (nameIndex == 0) return this.ProjectedProperty0;
  10.             throw Error.NotSupported();
  11.         }
  12.     }
复制代码

0x02 WCF Data Services用法
WCF Data Services 早期版本叫 ADO.NET Data Service,核心功能位于 System.Data.Services.dll 程序集提供的 System.Data.Services.DataService 类,
DataServices类会自动加载来源于System.Data.Entity对象生成具有增查删改功能的WCF服务,并且这些服务是以Http方式与客户端进行通信的,任何实现
HTTP访问的客户端都可以与DataServices进行数据访问交互,如此一来访问数据库就显得特别容易。WCF Data Services 在.NET平台下配合最常用的ORM框架
Entity Framework,首先创建两张表Category、Product,设置Product产品表外键为CategoryId,CategoryId =1 代表类别为.NET,CategoryId =2代表类别为Java,如下图

再创建ADO.NET 实体数据模型,新建数据库连接注意加上本地hostname和数据库名,模型会自动向web.config里追加名为TestEntities的
Entity Framework连接字符串信息。接着需要导入Data Services 模板文件,下载地址:
https://marketplace.visualstudio ... ceTemplateExtension 导入成功后可添加新的模板文件

设置DataService<T>为创建实体模型名TestEntities4,EntitySetRights.All 表示给实体集合和操作指定创建、读取、更新和删除数据的权限,
DataServiceProtocolVersion.V2表示当前OData协议版本,需要和Entity Framework 5.x版本匹配。

启动服务后也许会出现错误提示,但看不到错误详情,这个时候需要在web.config 增加 <serviceMetadata httpGetEnabled="true" /> 和
<serviceDebug includeExceptionDetailInFaults="true" />或者直接在 DataService类上添加特性 [ServiceBehavior(IncludeExceptionDetailInFaults = true)],
这样再次启动后就可以看到错误详情。
  1. <system.serviceModel>
  2.     <serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
  3.     <behaviors>
  4.       <endpointBehaviors>
  5.         <behavior name="">
  6.           <webHttp defaultOutgoingResponseFormat="Json" />
  7.         </behavior>
  8.       </endpointBehaviors>
  9.       <serviceBehaviors>
  10.         <behavior name="">
  11.           <serviceMetadata httpGetEnabled="true" />
  12.           <serviceDebug includeExceptionDetailInFaults="true" />
  13.         </behavior>
  14.       </serviceBehaviors>
  15.     </behaviors>
  16.   </system.serviceModel>
复制代码

错误详情也许是”在数据上下文类型上,有一个顶级 IQueryable 属性,其元素类型不是实体类型。确保 IQueryable 属性是实体类型或在数据上下文类型上
指定 IgnoreProperties 属性以忽略此属性“,需要在两张表对应的实体cs文件内的主键添加 DataServiceKey 特性,如下
​​​​​​​
  1. // Category 类名表
  2. [System.Data.Services.Common.DataServiceKey("Id")]
  3. public partial class Categroy
  4. {
  5.         public Categroy()
  6.         {
  7.             this.Product = new HashSet<Product>();
  8.         }  
  9.         public int Id { get; set; }
  10.         public string CategoryName { get; set; }   
  11.         public virtual ICollection<Product> Product { get; set; }
  12. }

  13. // Product 产品表
  14. [System.Data.Services.Common.DataServiceKey("ProductId")]
  15. public partial class Product
  16. {
  17.         public int ProductId { get; set; }
  18.         public string ProductName { get; set; }
  19.         public Nullable<int> CategroyId { get; set; }
  20.    
  21.         public virtual Categroy Categroy { get; set; }
  22. }
复制代码

0x03 OData用法
OData 全称 Open Data Protocol —  开放数据协议,是用来查询和更新数据的一种Web协议,其提供了把存在于应用程序中的数据输出的方式。OData被广泛应用于微软的SharePoint产品

OData运用且构建于很多 Web技术之上,比如HTTP、AtomPub和JSON,提供了从各种应用程序、服务和数据库之间交互数据的能力,也称为资源导向架构(ROA),
用户能够对各种资源进行Web线上实时的查询,类似于使用 SQL 在数据库中查询数据,唯一的区别是ROA允许用户通过URL创建查询。开放数据协议 (OData) 支持
创建基于 REST 的数据服务,这些服务允许使用统一资源标识符 (URI) 标识并在数据模型中定义的资源由 Web 客户端使用简单的 HTTP 消息发布和编辑。服务使用的
URI 最多包含三个重要部分:服务根 URI、资源路径和查询字符串选项。​​​​​​​

  1. http://localhost:60701/WcfDataService1.svc/Category(1)/Product?$top=2&$orderby=CategroyName
  2. _______________________________________/ __________________/  _________________/
  3.                    |                                |                    |
  4.              数据服务根URI                       资源路径                查询参数
复制代码

比较常用的路径和字符串选项如下,OData 协议为通过 URL 查询数据提供了强大的功能,与 SQL 非常相似。
OData Vs SQL 对应关系更多请参考下图

0x04 ExpandedWrapper用法
首先新建客户端项目,通过客户端应用拉取服务端的数据,笔者定义了私有类Uri, 初始化Uri类传入构造方法参数指向服务端的URL地址
http://localhost:60701/WcfDataService1.svc/
​​​​​​​
  1. private TestEntities4 context;
  2. private Uri svcUri = new Uri("http://localhost:60701/WcfDataService1.svc/");
  3. context = new TestEntities4(svcUri);
复制代码

客户端通过Linq模拟发起服务端请求,如查询产品表主键ProductId=2的数据,http://localhost:60701/WcfDataService1.svc/Product(2) ,
如下图
  1. private TestEntities4 context;
  2. private Uri svcUri = new Uri("http://localhost:60701/WcfDataService1.svc/");
  3. context = new TestEntities4(svcUri);
复制代码


除此之外重点介绍下扩展系统查询选项$expand 把相关的NavigationProperty 导航属性的数据一并取出,首先访问
http://localhost:60701/WcfDataService1.svc/$metadata
获取Product实体表关联的属性Categroy


访问 http://localhost:60701/WcfDataService1.svc/Product?$expand=Categroy ,可看到输出当前所有的产品,
例如下方文本中的ProductName = ObjectDataProvider,生成关联类别名链接 Product(1)/Categroy,返回数据如下
​​​​​​​
  1. <entry>
  2.     <id>http://localhost:60701/WcfDataService1.svc/Product(1)</id>
  3.     <title type="text"></title>
  4.     <updated>2022-05-11T12:34:03Z</updated>
  5.     <author>
  6.       <name />
  7.     </author>
  8.     <link rel="edit" title="Product" href="Product(1)" />
  9.     <link rel="http://schemas.microsoft.com/ado/2007/08/dataservices/related/Categroy" type="application/atom+xml;type=entry" title="Categroy" href="Product(1)/Categroy">
  10.       <m:inline />
  11.     </link>
  12.     <category term="WCFDataService.Product" scheme="http://schemas.microsoft.com/ado/2007/08/dataservices/scheme" />
  13.     <content type="application/xml">
  14.       <m:properties>
  15.         <d:ProductId m:type="Edm.Int32">1</d:ProductId>
  16.         <d:ProductName>ObjectDataProvider</d:ProductName>
  17.         <d:CategroyId m:type="Edm.Int32">1</d:CategroyId>
  18.       </m:properties>
  19.     </content>
  20.   </entry>
复制代码

这样的返回信息里是获取不到当前产品名对应的分类名称的,还需要请求一次查询 Product(1)/Categroy 才能拿到分类名,为了解决这样的问题是要求提供者
在一个查询中获取类别及其产品,正常情况下可以通过投影一次查询请求即可获取到分类和它关联的产品数据,这样的好处在于减少应用和数据库之间的交互次数提高性能。
​​​​​​​
  1. var datas = from d in context.Categroy.Select(category => new
  2.                 {
  3.                     Category = category,
  4.                     Products = category.Product
  5.                 })
  6.                 select new
  7.                  {
  8.                     ProductList = d.Products,
  9.                     CategroyList = d.Category
  10.                   };
复制代码

如果WCF Data Services 需要用到多级扩展场景时就需要不断将被扩展的实体存储到属性ProjectedProperty0、ProjectedProperty1 等等 ,
改下代码实现匿名类型扩展查询获取分类名称和关联产品数据​​​​​​​

  1. var q = from d in context.Categroy
  2.                         .Select(p =>
  3.                         new
  4.                         {
  5.                             ExpandedElement = p,
  6.                             ProjectedProperty0 = new
  7.                             {
  8.                                 ExpandedElement = "产品分类" + p.CategoryName,
  9.                                 ProjectedProperty0 = p.Product.Select(x => new {产品名 = x.ProductName }),
  10.                                 ProjectedProperty1 = new ObjectDataProvider()
  11.                             }
  12.                         })
  13.                         select new
  14.                         {
  15.                             Name = d.ProjectedProperty0
  16.                         };
  17.                 var r = q.ToList();
复制代码
上述代码 ExpandedWrapper类的属性 ProjectedProperty0 存储了Categroy、Product两个实体投影后生成的新数据,这个新的数据集包含了每个产品分类
和产品名称对应关系,代码运行后如下图

当然笔者尝试将ProjectedProperty1属性赋值为一个新的实例化对象ObjectDataProvider也没有抛出异常, 查看源码可知ProjectedProperty1返回的
也是一个基类对象object,所以ProjectedProperty1可以设置为.NET任意类型,而且ProjectedProperty0和ProjectedProperty1均声明为公共属性,这个点对于xmlSerializer反序列化非常重要。

0x05 反序列化
学到了上节加《第14课》的知识后,回过头再看下面这段代码就容易理解的多了,笔者尝试沙盘推演下整个思路和打法,首先第一阶段:第2和第3行
分别创建了两个对象xamlReader和objectDataProvider,然后将xamlReader.Parse方法赋给objectDataProvider实例化后的成员MethodName,这样就可以
调用XamlReader.Parse(string)方法,再向方法参数MethodParameters 添加资源字典字符串,让Parse方法解析ResourcesDictionary里的Payload;
  1. string xml = File.ReadAllText("Dictionary1.xaml");  //资源文件,存储了payload
  2. XamlReader xamlReader = new XamlReader();
  3. ObjectDataProvider objectDataProvider = new ObjectDataProvider();
  4. objectDataProvider.ObjectInstance = xamlReader;  //成员的值为 新对象xamlReader
  5. objectDataProvider.MethodParameters.Add(xml);
  6. objectDataProvider.MethodName = "Parse";
复制代码

紧接着在第一阶段中objectDataProvider对象的成员ObjectInstance,它存储了xamlReader对象, 所以此时的objectDataProvider既承载自身对象的值也承载了
xamlReader对象的数据,那么需要找到一个可以同时承载两个对象的类,并且这个类的属性可以存储被承载两个类的数据集合,而且该类的属性和类都必须
声明为公开的,不能是私有或者受保护的。很幸运的是ExpandedWrapper可以完成这项艰巨的任务,它可以查询扩展多个类,
例如 ExpandedWrapper<XamlReader, ObjectDataProvider>,属性 ExpandedWrapper.ProjectedProperty0可以存储被扩展的多个类查询数据的集合,
在这个例子中就是存储了objectDataProvider
​​​​​​​
  1. string xml = File.ReadAllText("Dictionary1.xaml");  //资源文件,存储了payload
  2. XamlReader xamlReader = new XamlReader();
  3. ObjectDataProvider objectDataProvider = new ObjectDataProvider();
  4. objectDataProvider.ObjectInstance = xamlReader;  //成员的值为 新对象xamlReader
  5. objectDataProvider.MethodParameters.Add(xml);
  6. objectDataProvider.MethodName = "Parse";
复制代码

因为XmlSerializer类在反序列化时只能对公共的属性做序列化处置,所以最后捋一下整体过程:
1. 因为 XAML 能存储包含恶意代码的<ObjectDataProvider>扩展标记,所以找到了 XamlReader.Parse方法解析这段XAML达到命令执行的效果;
2. 为了能调用XamlReader类的Parse方法,又找到了 ObjectDataProvider类;
3. ObjectDataProvider类被实例化后除了自身外还承载了XamlReader类,所以需要找到 ExpandedWrapper类扩展包装在一起,并且属性ProjectedProperty0 可以存储这两个类的查询集合数据;
4. 最后 XmlSerializer类顺利序列化 expandedWrapper。


  1. -> XAML:<ObjectDataProvider> -> XamlReader.Parse(XAML) -> ObjectDataProvider.ObjectInstance=xamlReader
  2. -> ExpandedWrapper(XamlReader,ObjectDataProvider) -> expandedWrapper.ProjectedProperty0=objectDataProvider
  3. -> xmlSerializer.Serialize(expandedWrapper)
复制代码

0x06 结语
相信通过本文介绍大家对ExpandedWrapper类有了初步的认知,有助于解开XmlSerializer反序列化中核心链路的疑问,下一节将介绍XmlSerializer反序列化漏洞总结篇,
请大伙继续关注文章涉及的PDF和Demo已打包发布在星球,欢迎对.NET安全关注和关心的同学加入我们,在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 22:32 , Processed in 0.013573 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表