?0X00 前言

Java中的Fastjson曾經(jīng)爆出了多個反序列化漏洞和Bypass版本，而在.Net領(lǐng)域也有一個Fastjson的庫，作者官宣這是一個讀寫Json效率最高的的.Net 組件，使用內(nèi)置方法JSON.ToJSON可以快速序列化.Net對象。讓你輕松實(shí)現(xiàn).Net中所有類型(對象,基本數(shù)據(jù)類型等)和Json之間的轉(zhuǎn)換，fastjson是一個開源的Json.Net庫，下載地址 http://www.codeproject.com/Articles/159450/fastJSON，反序列過程中詳細(xì)的性能對比如下

從圖上得出和老牌Json.Net、Stack等比起來速度和性能優(yōu)勢非常明顯，究其原因組件的作者利用反射生成了大量的IL代碼，而IL代碼是托管代碼，可以直接給運(yùn)行庫編譯所以性能就此大大提升。但在某些場景下開發(fā)者使用JSON.ToObject方法序列化不安全的數(shù)據(jù)時候會造成反序列化漏洞從而實(shí)現(xiàn)遠(yuǎn)程RCE攻擊，本文筆者從原理和代碼審計的視角做了相關(guān)介紹和復(fù)現(xiàn)。

?

?

0X01 Fastjson序列化

使用JSON.ToJSON可以非常方便的實(shí)現(xiàn).NET對象與Json數(shù)據(jù)之間的轉(zhuǎn)化，ToJSON首先會得到對象名稱所在的程序集全限定名，并且作為$types這個key的值，再將對象的成員屬性名轉(zhuǎn)化為Json數(shù)據(jù)中的Key，把對象的成員屬性值轉(zhuǎn)化為Json數(shù)據(jù)中的value，下面通過一個實(shí)例來說明問題，首先定義TestClass對象

定義了三個成員，并實(shí)現(xiàn)了一個靜態(tài)方法ClassMethod啟動進(jìn)程。 序列化通過創(chuàng)建對象實(shí)例分別給成員賦值?

筆者為了盡量保證序列化過程不拋出異常，所以引入了 JSON.ToJSON方法的第二個參數(shù)并實(shí)例化創(chuàng)建JSONParameters，它的字段中有很多類型是布爾值，

和反序列化漏洞相關(guān)的字段為UseExtensions ，將它設(shè)置為true可得到類的全限定名，如果不需要序列化空值的時可將另一個字段SerializeNullValues設(shè)為false; 筆者使用JSON.ToJSON后得到序列化的Json數(shù)據(jù)

0x02 Fastjson反序列化

2.1、反序列化用法

反序列過程就是將Json數(shù)據(jù)轉(zhuǎn)換為對象，Fastjson通過創(chuàng)建一個新對象的方式調(diào)用JSON. ToObject方法實(shí)現(xiàn)的，ToObject有多個重載方法，當(dāng)傳入兩個參數(shù)，第一個參數(shù)需要被序列化的數(shù)據(jù)、第二個參數(shù)設(shè)置序列化配置選項(xiàng)來指定JSONParameters按照指定的屬性值處理，重載方法參考下圖

?

具體代碼可參考以下Demo

2.2、打造Poc

漏洞的觸發(fā)點(diǎn)也是在于被序列化的Json中的$types是否可控，為此官方文檔里也標(biāo)注了警告。

筆者繼續(xù)選擇ObjectDataProvider類方便調(diào)用任意被引用類中的方法，具體有關(guān)此類的用法可以看一下《.NET高級代碼審計（第一課） XmlSerializer反序列化漏洞》，因?yàn)镻rocess.Start方法啟動一個線程需要配置ProcessStartInfo類相關(guān)的屬性，例如指定文件名、指定啟動參數(shù)，所以首先得考慮序列化ProcessStartInfo，如下代碼Demo

一步步來看，開始從GetType獲取當(dāng)前類的實(shí)例，返回Type類型變量t3；然后通過Type.GetProperty方法找到指定為FileName的公共屬性并賦值給PropertyInfo類型的變量propertyName；再使用PropertyInfo.SetValue方法設(shè)置對象的指定屬性值“cmd.exe“，同理為Arguments屬性指定值。下一步再來序列化Process類，并調(diào)用StartInfo啟動程序，Demo如下

然后需要對其做減法，去掉無關(guān)的System.RuntimeType、System.IntPtr數(shù)據(jù)，最終得到反序列化Payload

FastJson定義的JSON類定義了多個ToObject重載方法，對于反序列化漏洞無需關(guān)心重載的方法參數(shù)是一個還是多個，它們都可以觸發(fā)漏洞

筆者通過下面的Demo ， JSON.ToObject(payload)反序列化成功彈出計算器。

0x03 代碼審計視角

從代碼審計的角度很容易找到漏洞的污染點(diǎn)，通過前面幾個小節(jié)的知識能發(fā)現(xiàn)需要滿足一個關(guān)鍵條件JSON.ToObject傳入String或者Object就可以被反序列化，例如以下JSONSerializer類

攻擊者控制傳入字符串參數(shù)json便可輕松實(shí)現(xiàn)反序列化漏洞攻擊。Github上也存在大量的不安全案例代碼，如下

0x04 案例復(fù)盤

最后再通過下面案例來復(fù)盤整個過程，全程展示在VS里調(diào)試?yán)锿ㄟ^反序列化漏洞彈出計算器。

1. 輸入http://localhost:5651/Default Post加載value值

2.?通過ToObject 反序列化 ，并彈出計算器

最后附個動態(tài)圖

?

0x05 總結(jié)

Fastjson憑借速度和性能上的優(yōu)勢占得一席之地，但隨著newtonsoft.Json的主流化，性能上已經(jīng)逐漸趕超了Fastjson，也使得Fastjson越來越小眾化，對于攻擊者來說，利用成本很低，在代碼審計配合的情況下這種安全問題越發(fā)的嚴(yán)重起來，若提交惡意的污染數(shù)據(jù)，便可水到渠成的反序列化成功拿下目標(biāo)，最后.NET反序列化系列課程筆者會同步到 https://github.com/Ivan1ee/ 、https://ivan1ee.gitbook.io/ ，后續(xù)筆者將陸續(xù)推出高質(zhì)量的.NET反序列化漏洞文章，歡迎大伙持續(xù)關(guān)注，交流，更多的.NET安全和技巧可關(guān)注實(shí)驗(yàn)室公眾號。

?

轉(zhuǎn)載于:https://www.cnblogs.com/Ivan1ee/p/10581913.html

總結(jié)

以上是生活随笔為你收集整理的.NET高级代码审计（第三课）Fastjson反序列化漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。