搜索

[2092] 2019-03-06_.NET高级代码审计(第一课)XmlSerializer反序列漏洞

文档创建者:s7ckTeam
浏览次数:54
最后更新:2025-01-16
2019-03-06_.NET高级代码审计(第一课)XmlSerializer反序列漏洞 . N E T X m l S e r i a l i z e r   I v a n 1 e e   d o t N e t   2 0 1 9 - 0 3 - 0 6 0 X 0 0   . N E T     X m l S e r i a l i z e r     X M L     . N E T   X m l S e r i a l i z e r   A P I     X M L   . N E T   使 T y p e D e s e r i a l i z e x m l D o t N e t N u k e     C V E - 2 0 1 7 - 9 8 2 2 0 X 0 1   X m l S e r i a l i z e r . N E T     S y s t e m . X m l . S e r i a l i z a t i o n   X m l S e r i a l i z e r   X M L     . N E T   X M L S e r i a l i z e ( )     X M L D e s e r i a l i z e ( )     X M L   X m l E l e m e n t X m l A t t r i b u t e X M L d e m o X m l E l e m e n t X m l A t t r i b u t e X m l R o o t T e s t C l a s s X m l S e r i a l i z e r . S e r i a l i z e S t r e a m T e x t W r i t e X m l W r i t e X M L T e s t C l a s s C l a s s n a m e
0 x 0 2   X m l S e r i a l i z e x m l X m l S e r i a l i z e r . D e s e r i a l i z e n e w   X m l S e r i a l i z e r S y s t e m . T y p e 访 T y p e 2 . 1 t y p e o f X m l S e r i a l i z e r t y p e o f ( T e s t C l a s s )   T e s t C l a s s T y p e t y p e o f C # D e m o t y p e o f T y p e M e t h o d s M e m b e r s D e b u g N a m e 2 . 2 o b j e c t . T y p e . N E T S y s t e m . O b j e c t O b j e c t G e t T y p e S y s t e m . T y p e T e s t C l a s s T y p e D e m o 2 . 3 T y p e . G e t T y p e T y p e G e t T y p e
T y p e . G e t T y p e 使 0 X 0 3   D e m o D e m o . N E T   C o r e M V C X m l S e r i a l i z e r D e m o 3 . 1 O b j e c t D a t a P r o v i d e r O b j e c t D a t a P r o v i d e r S y s t e m . W i n d o w s . D a t a O b j e c t I n s t a n c e M e t h o d N a m e M e t h o d P a r a m e t e r s T e s t C l a s s C l a s s M e t h o d S y s t e m . D i a g n o s t i c s . P r o c e s s . S t a r t X m l S e r i a l i z e r O b j e c t I n s t a n c e 使 E x p a n d e d W r a p p e r D e m o d a t a . x m l
T e s t C l a s s W e b 使 3 . 2 R e s o u r c e D i c t i o n a r y R e s o u r c e D i c t i o n a r y W P F U W P W P F U I X A M L   X A M L E x t e n s i b l e   A p p l i c a t i o n   M a r k u p   L a n g u a g e   ( )   X M L X A M L X M L D e m o R e s o u r c e D i c t i o n a r y x m l n s : R u n t i m e S y s t e m . D i a g n o s t i c s R u n t i m e O b j e c t D a t a P r o v i d e r x : k e y 便 O b j e c t T y p e   使 X A M L x : T y p e C # t y p e o f S y s t e m . D i a g n o s t i c s . P r o c e s s ; M e t h o d N a m e S y s t e m . D i a g n o s t i c s . P r o c e s s . S t a r t O b j e c t D a t a P r o v i d e r . M e t h o d P a r a m e t e r s S y s t e m : S t r i n g S t a r t 使 R e s o u r c e D i c t i o n a r y P a y l o a d X a m l R e a d e r X M L 3 . 3 X a m l R e a d e r X a m l R e a d e r S y s t e m . W i n d o w s . M a r k u p X A M L X A M L L o a d S t r e a m X A M L P a r s e X A M L P a r s e 使 O b j e c t D a t a P r o v i d e r O b j e c t I n s t a n c e X a m l R e a d e r M e t h o d N a m e P a r s e M e t h o d P a r a m e t e r s X m l S e r i a l i z e r 0 x 0 4   T y p e . G e t T y p e T y p e G e t T y p e d e m o
X m l D o c u m e n t x m l t y p e N a m e X p a t h I t e m t y p e T y p e . G e t T y p e I t e m X m l D e s e r i a l i z e g i t h u b X m l S e r i a l i z e r X m l S e r i a l i z e U t i l . c s T y p e t y p e T y p e . G e t T y p e ( s t r i n g )   T y p e D e s e r i a l i z e X m l t y p e 0 x 0 5   V S 1 .     h t t p : / / l o c a l h o s t : 5 6 5 1 / D e f a u l t ? n o d e = r o o t & v a l u e = t y p e ( 1 9 2 . 1 6 8 . 2 3 1 . 1 3 5 ) 1 . x m l
2 .         x m l H e l p e r . G e t V a l u e r o o t X M L 3 .   r o o t t y p e G e t T y p e X m l S e r i a l i z e r 4 .         X m l S e r i a l i z e r . D e s e r i a l i z e ( x m l R e a d e r )
0 x 0 6   X m l S e r i a l i z e r 使 W e b W e b S h e l l O b j e c t D a t a P r o v i d e r R e s o u r c e D i c t i o n a r y X a m l R e a d e r S h e l l   . N E T   h t t p s : / / g i t h u b . c o m / I v a n 1 e e / h t t p s : / / i v a n 1 e e . g i t b o o k . i o / . N E T

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理