Microsoft SharePoint 远程代码执行漏洞(CVE-2019-0604)技术分析与利用教学<\/h1>

漏洞概述<\/h2>
CVE-2019-0604是Microsoft SharePoint中的一个严重远程代码执行(RCE)漏洞，允许攻击者在SharePoint应用和服务器账户中执行任意代码。该漏洞由Markus Wulftange发现并报告给ZDI计划。<\/p>

漏洞原理<\/h2>

核心问题<\/h3>
漏洞的核心在于`XmlSerializer(Type)<\/code>构造函数的不安全使用。虽然XmlSerializer<\/code>通常被认为是安全的序列化程序，但当攻击者能够控制预期的类型数据时，就可能被利用进行反序列化攻击。<\/p>`

漏洞位置<\/h3>
主要存在于以下两个程序集中的方法：<\/p>

Microsoft.SharePoint.dll<\/code>中的Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)<\/code><\/li>
Microsoft.SharePoint.Portal.dll<\/code>中的Microsoft.Office.Server.ApplicationRegistry.Infrastructure<\/code>命名空间中的相同功能类型<\/li>
<\/ul>
技术分析<\/h2>
数据流分析<\/h3>


起点分析<\/strong>：<\/p>

漏洞起点在EntityInstanceIdEncoder.DecodeEntityInstanceId(string)<\/code>方法<\/li>
该方法接收一个encodedId<\/code>参数，用于指定期望类型(typeName)和反序列化数据<\/li>
<\/ul>
<\/li>

调用链分析<\/strong>：<\/p>
ItemPicker.ValidateEntity(PickerEntity)
  → EntityEditor.Validate()
    → EntityEditor.LoadPostData(string, NameValueCollection)
      → System.Web.UI.IPostBackDataHandler.LoadPostData(string, NameValueCollection)
<\/code><\/pre>
<\/li>

关键控制点<\/strong>：<\/p>

EntityEditor.Entities<\/code>属性由私有字段m_listOrder<\/code>决定<\/li>
m_listOrder<\/code>从m_listOrderTemp<\/code>获取值<\/li>
m_listOrderTemp<\/code>的值来自EntityEditor.ParseSpanData<\/code>方法<\/li>
ParseSpanData<\/code>处理名为"hiddenSpanData"的HtmlInputHidden<\/code>字段值<\/li>
<\/ul>
<\/li>
<\/ol>
攻击面<\/h3>
攻击可通过以下页面实现：<\/p>

\/_layouts\/15\/Picker.aspx<\/code><\/li>
需要设置"PickerDialogType" URL参数为以下类型之一：

Microsoft.SharePoint.WebControls.ItemPickerDialog<\/code> (在Microsoft.SharePoint.dll中)<\/li>
Microsoft.SharePoint.Portal.WebControls.ItemPickerDialog<\/code> (在Microsoft.SharePoint.Portal.dll中)<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞利用<\/h2>
利用条件<\/h3>

能够访问SharePoint服务器<\/li>
能够向\/_layouts\/15\/Picker.aspx<\/code>发送POST请求<\/li>
能够控制hiddenSpanData<\/code>字段的值<\/li>
<\/ol>
利用步骤<\/h3>


定位攻击点<\/strong>：<\/p>

访问\/_layouts\/15\/Picker.aspx<\/code>页面<\/li>
设置"PickerDialogType"参数为ItemPickerDialog类型<\/li>
<\/ul>
<\/li>

构造恶意请求<\/strong>：<\/p>

构造POST请求，包含恶意构造的ctl00$PlaceHolderDialogBodySection$ctl05$hiddenSpanData<\/code>字段<\/li>
该字段值应以特定结构开头(如"dummy")<\/li>
<\/ul>
<\/li>

触发漏洞<\/strong>：<\/p>

提交表单，触发反序列化过程<\/li>
恶意payload将被EntityInstanceIdEncoder.DecodeEntityInstanceId<\/code>处理<\/li>
<\/ul>
<\/li>
<\/ol>
调试验证<\/h3>
使用dnSpy调试工具：<\/p>

附加到IIS工作进程(w3wp.exe)<\/li>
在EntityInstanceIdEncoder.DecodeEntityInstanceId<\/code>设置断点<\/li>
观察调用栈和数据流<\/li>
<\/ol>
防御措施<\/h2>


官方补丁<\/strong>：<\/p>

及时安装Microsoft发布的补丁<\/li>
<\/ul>
<\/li>

临时缓解措施<\/strong>：<\/p>

限制对\/_layouts\/15\/Picker.aspx<\/code>的访问<\/li>
监控异常的反序列化请求<\/li>
<\/ul>
<\/li>

开发实践<\/strong>：<\/p>

避免使用用户可控数据作为XmlSerializer<\/code>的类型参数<\/li>
实施严格的数据验证<\/li>
<\/ul>
<\/li>
<\/ol>
工具与资源<\/h2>


分析工具<\/strong>：<\/p>

dnSpy：用于.NET应用程序的反编译和调试<\/li>
<\/ul>
<\/li>

参考资源<\/strong>：<\/p>

ZDI漏洞报告<\/li>
Alvaro Muñoz和Oleksandr Mirosh的JSON攻击研究<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
CVE-2019-0604展示了即使是被认为安全的API(如XmlSerializer<\/code>)在不正确使用时也会带来严重风险。该漏洞的关键在于攻击者能够控制反序列化的类型参数，从而执行任意代码。理解这类漏洞的数据流和控制流对于开发安全的应用程序至关重要。<\/p>

Microsoft SharePoint 远程代码执行漏洞(CVE-2019-0604)技术分析与利用教学<\/h1>

漏洞概述<\/h2> CVE-2019-0604是Microsoft SharePoint中的一个严重远程代码执行(RCE)漏洞，允许攻击者在SharePoint应用和服务器账户中执行任意代码。该漏洞由Markus Wulftange发现并报告给ZDI计划。<\/p>

漏洞原理<\/h2>

核心问题<\/h3> 漏洞的核心在于XmlSerializer(Type)<\/code>构造函数的不安全使用。虽然XmlSerializer<\/code>通常被认为是安全的序列化程序，但当攻击者能够控制预期的类型数据时，就可能被利用进行反序列化攻击。<\/p>

技术分析<\/h2>

漏洞利用<\/h2>

漏洞概述<\/h2>
CVE-2019-0604是Microsoft SharePoint中的一个严重远程代码执行(RCE)漏洞，允许攻击者在SharePoint应用和服务器账户中执行任意代码。该漏洞由Markus Wulftange发现并报告给ZDI计划。<\/p>

核心问题<\/h3>
漏洞的核心在于`XmlSerializer(Type)<\/code>构造函数的不安全使用。虽然XmlSerializer<\/code>通常被认为是安全的序列化程序，但当攻击者能够控制预期的类型数据时，就可能被利用进行反序列化攻击。<\/p>`