干货 | 最新Windows事件查看器.NET反序列化漏洞分析

0x01 漏洞背景4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器的反序列化漏洞，可以用来绕过Windows Defender或者ByPass UAC等其它攻击场景，Orange视频里也给出了攻击载荷 DataSet “ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%\Microsoft\Eventv~1\RecentViews”0x02 漏洞复现@Orange Tsai 给出的ysoserial DataSet载荷因为笔者复现未成功，所以替换用TypeConfuseDelegate作为攻击载荷，%LOCALAPPDATA% 等同于 C:\Users\用户名\AppData\Local 目录，Eventv~1 代表目录名前6个字符 Eventv开头的第1个目录，其实可指定为本地的 Event Viewer文件夹，文件名一定得是固定的RecentViews，至于为什么可以看后续的原理分析，ysoserial 生成攻击载荷命令如下，有个小小的建议：可以先打开一次事件查看器，便于操作系统创建EventViewer目录，否则执行ysoserial命令会抛出 "系统找不到路 ………………………………