本篇文章為大家展示了如何通過BDC反序列化在Microsoft SharePoint上執(zhí)行任務(wù)，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)企業(yè)建站,10多年網(wǎng)站建設(shè)經(jīng)驗，專注于網(wǎng)站建設(shè)技術(shù)，精于網(wǎng)頁設(shè)計，有多年建站和網(wǎng)站代運營經(jīng)驗，設(shè)計師為客戶打造網(wǎng)絡(luò)企業(yè)風(fēng)格，提供周到的建站售前咨詢和貼心的售后服務(wù)。對于成都做網(wǎng)站、網(wǎng)站制作中不同領(lǐng)域進(jìn)行深入了解和探索，創(chuàng)新互聯(lián)在網(wǎng)站建設(shè)中充分了解客戶行業(yè)的需求，以靈動的思維在網(wǎng)頁中充分展現(xiàn)，通過對客戶行業(yè)精準(zhǔn)市場調(diào)研，為客戶提供的解決方案。

漏洞細(xì)節(jié)

這個漏洞存在于微軟SharePoint中的業(yè)務(wù)數(shù)據(jù)（BDC）連接服務(wù)之中，由于自定義的BDC模型中可以使用任意的方法參數(shù)類型，從而導(dǎo)致Microsoft SharePoint 2016中的業(yè)務(wù)數(shù)據(jù)連接（BDC）服務(wù)容易受到XmlSerializer流的任意反序列化的攻擊。早

SharePoint允許使用業(yè)務(wù)數(shù)據(jù)連接模型文件格式（MS-BDCMFFS）數(shù)據(jù)格式來指定自定義的BDC模型，這種規(guī)范中的部分內(nèi)容為方法和參數(shù)定義。下面給出的是微軟提供的樣本：

上述代碼定義了一個名叫GetCustomer的方法，它負(fù)責(zé)封裝一個名叫sp_GetCustomer的程序，這兩者的輸入?yún)?shù)(Direction="In")和返回參數(shù)(Direction="Return")都使用了各自對應(yīng)類型的描述來定義。

在上述樣本中，輸入?yún)?shù)的原始類型為System.Int32，這就沒什么大問題。但如果定義的BDC模型參數(shù)類型為Microsoft.BusinessData.Runtime.DynamicType，就會出現(xiàn)問題了。這種方案的好處在于允許開發(fā)人員靈活地通過該參數(shù)傳遞不同類型的值，但壞處就是為反序列化的調(diào)用方提供了任意的XmlSerializer流。

漏洞利用

我們的測試設(shè)備為Microsoft SharePoint Server 2016，并且安裝了KB4464594，操作系統(tǒng)版本為64位的Windows Server 2016 update 14393.3025。

漏洞利用步驟及過程如下：

1、管理員首先需要自定義一個BDC模型，其中包括一個參數(shù)類型為Microsoft.BusinessData.Runtime.DynamicType的方法。針對自定義的BDC模型，程序會使用數(shù)據(jù)庫模型樣本來作為模板對其進(jìn)行大規(guī)模簡化：

2、接下來，管理員需要通過SharePoint管理中心|應(yīng)用管理|管理服務(wù)應(yīng)用程序|業(yè)務(wù)數(shù)據(jù)連接服務(wù)來上傳BDC模型。當(dāng)然了，這個操作也可以通過PowerShell來完成：

3、然后，攻擊者就可以調(diào)用這個方法了，并通過函數(shù)參數(shù)來傳遞攻擊Payload：

在SharePoint服務(wù)器上，你將會發(fā)現(xiàn)生成了兩個cmd.exe實例以及一個win32calc.exe實例，它們都會以SharePoint應(yīng)用程序池的身份運行。

如果你想要查看代碼路徑的話，你可以把調(diào)試器綁定到SharePoint應(yīng)用程序的w3wp.exe上，并在system.web.dll上設(shè)置斷點。

我們可以通過System.Web.dll!System.Web.UI.ObjectStateFormatter.Deserialize來查看調(diào)用堆棧：

需要注意的是，即便是你能夠成功利用該漏洞并實施攻擊，你也無法拿到服務(wù)器端的管理員權(quán)限，不過攻擊者可以利用該漏洞在SharePoint應(yīng)用程序池以及SharePoint服務(wù)器賬號的上下文環(huán)境中執(zhí)行他們的代碼。根據(jù)微軟方面的描述，他們已經(jīng)在9月份推送的補(bǔ)丁中修復(fù)了此漏洞。

上述內(nèi)容就是如何通過BDC反序列化在Microsoft SharePoint上執(zhí)行任務(wù)，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享文章：如何通過BDC反序列化在MicrosoftSharePoint上執(zhí)行任務(wù)
瀏覽路徑：http://www.chinadenli.net/article18/gccegp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、靜態(tài)網(wǎng)站、營銷型網(wǎng)站建設(shè)、移動網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)