.NET高级代码审计：BinaryFormatter反序列化漏洞详解

".NET高级代码审计（第九课） BinaryFormatter反序列化漏洞1" 本文主要探讨的是.NET框架中的BinaryFormatter反序列化漏洞，这是一种可能导致远程代码执行（RCE）的安全风险。BinaryFormatter是一个用于对象序列化和反序列化的类，位于System.Runtime.Serialization.Formatters.Binary命名空间，它使用二进制格式保存对象状态，以便在不同环境之间传输或存储。虽然它具有速度快、跨版本兼容的优点，但如果不慎处理不受信任的输入，就可能成为攻击者的攻击向量。 0x01 BinaryFormatter序列化 在.NET中，要使一个类可以被BinaryFormatter序列化，需在类上添加[Serializable]特性。[NotSerialized]特性则用于标记不应被序列化的成员。以下是一个简单的示例，定义了一个名为TestClass的类，包含三个成员，并有一个静态方法ClassMethod，该方法用于启动进程。通过BinaryFormatter的Serialize方法，我们可以将对象实例转化为二进制数据。 0x02 BinaryFormatter反序列化 反序列化是将二进制数据恢复为对象的过程。BinaryFormatter提供了四种反序列化方法：Deserialize、DeserializeMethodResponse、UnsafeDeserialize和UnsafeDeserializeMethodResponse。通常，我们会使用Deserialize方法来反序列化数据，还原对象的状态。在反序列化过程中，如果恶意构造的二进制数据包含可执行代码，那么在反序列化时就可能触发这些代码的执行，从而引发安全问题。 2.2 攻击向量—ActivitySurrogateSelector ActivitySurrogateSelector是利用BinaryFormatter反序列化漏洞的一种特定攻击手段。在上一篇文章中，可能已经详细介绍了漏洞的原理，这里不再赘述。SurrogateSelector是BinaryFormatter在处理复杂类型时使用的一种机制，攻击者可以通过精心构造的SurrogateSelector来控制反序列化流程，进而执行任意代码。 2.3 攻击向量—WindowsIdentity WindowsIdentity代表了Windows操作系统的用户身份。在某些情况下，如果BinaryFormatter反序列化的输入包含WindowsIdentity对象，攻击者可能能够利用此机制来提升权限或执行恶意代码。例如，通过伪造的身份信息，攻击者可能会尝试模拟特权用户，进行权限滥用。 为了防止此类漏洞，开发者应谨慎处理反序列化的输入，尤其是在处理不受信任的数据时。可以考虑使用更安全的序列化库，如Json.NET，或者限制反序列化到已知安全的类型。同时，启用安全性选项，如设置BinaryFormatter的Binder，可以增加一层保护，限制恶意代码的执行。 理解BinaryFormatter的工作原理及其潜在的风险对于.NET开发者来说至关重要，特别是在处理网络数据或存储数据时。进行代码审计时，务必关注可能的反序列化漏洞，并采取适当的防御措施，以确保应用的安全性。