本系列是笔者从0到1对dotnet反序列化进行系统学习的笔记,其中涉及官方的反序列化formatter和第三方库的反序列化组件(如Json.net等),其中穿插一些ysoserial.net的使用及原理,以及一些dotnet的知识点。
笔者也是初入茅庐,如果文章表述或讲解有错,请不吝赐教。
所有文章均首发先知社区 https://xz.aliyun.com/u/12258
全系列文章参考以下内容
着重参考@Ivan1ee师傅的文章及其Github,以及微软文档和一些国外的议题、paper,还有@pwntester的文章。
-
讲解dotnet序列化基础及其生命周期
-
讲解xmlserializer基础、ysoserial.net ObjectDataProvider攻击链以及XamlReader.Parse()
-
讲解二进制formatter基础及TextFormattingRunProperties、DataSet、TypeConfuseDelegate攻击链
-
Nancy cookie反序列化 及攻击链ToolboxItemContainer
-
讲解soap格式流的反序列化漏洞及ActivitySurrogateSelector、ActivitySurrogateSelectorFromFile、ActivitySurrogateDisableTypeCheck、AxHostState攻击链和Kentico CMS的RCE
-
讲解LosFormatter反序列化,以及ClaimsIdentity、WindowsIdentity、WindowsClaimsIdentity、SessionSecurityToken攻击链。
-
讲解ObjectStateFormatter反序列化以及RolePrincipal、WindowsPrincipal攻击链。
-
讲解DataContractSerializer反序列化、SessionViewStateHistoryItem攻击链,以及对DataContractResolver类型解析器的利用。
-
讲解NetDataContractSerializer反序列化以及PSObject攻击链
-
讲解DataContractJsonSerializer反序列化及IDataContractSurrogate接口
-
讲解JavaScriptSerializer反序列化
-
讲解了json.net反序列化,并结合实际案例 breeze CVE-2017-9424深入理解。
-
讲解fastjson反序列化漏洞
-
讲解.net remoting漏洞
下面是笔者对于dotnet审计时收集的一些文章。
- CVE-2022-26500 Veeam Backup & Replication RCE
- 从dotnet源码看文件上传绕waf
- Dotnet 反序列化的另外几个gadget
- CVE-2021-34992 Orckestra C1 CMS Deserialization RCE
- Some notes of Microsoft Exchange Deserialization RCE (CVE-2021–42321)
- 50 Shades of SolarWinds Orion Deserialization (Part 1: CVE-2021–35215)
- https://twitter.com/Y4er_ChaBug/status/1453971672629796865
- 50 Shades of SolarWinds Orion (Patch Manager) Deserialization (Final Part: CVE-2021–35218)
- CVE-2022-26503 Veeam Agent for Microsoft Windows LPE
- Pwning 3CX Phone Management Backends from the Internet
ID:Y4er
Blog:Y4er.com
Twitter:@Y4er_ChaBug