0x00序言 下一课中介绍的SoapFormatter备份程序和BinaryFormatter备份程序是.NET中实现的所有序列化涵数类。 SoapFormatter直接派生自System.Object，坐落于命名空间System.Runtime.Serialization.Formatters.Soap中。 IRemotingFormatter和IFormatter插口用以将对象图长久化作SOAP流。

SOAP是一种简单的应用场景XML的协议书，容许手机应用程序通过.com互换信息。但是，在一些情况下，处理不安全的SOAP流会造成反序列化系统漏洞并实现远程RCE进攻。在文中中，创作者从原理和编码财务审计的视角介绍和重现。

0x01 SoapFormatter序列化 SoapFormatter类实现的IFormatter接口标准了核心Serialize方法。实现.NET对象和SOAP流之间的变换非常方便。数据可以储存为XML文件。正式提供了两个构造函数。

以下仍是一个用于说明问题的旧实例，首先定义TestClass对象

定义了三个组员，并起动静态方法ClassMethod。序列化通过创建对象案例为组员分派值

通常使用Serialize来获得序列化的SOAP流，并使用XML命名空间来保存初始程序集。

比如，下面的TestClass类的start元素使用转化成的xmlns进行限制，注意a1 名字空间。 ＆lt; SOAP-ENV:包络  xmlns: xsi='.com://WWW.w3.org/2002/XMLSchema-instance'  xmlns: xsd='.com://WWW.w3.org/2002/XMLSchema'  xmlns: SOAP-ENC='.com://schemas.xmlsoap.org/soap/encoding/'  xmlns: SOAP-ENV='.com://schemas.xmlsoap.org/soap/envelope/'  xmlns: clr='.com://schemas.microsoft.Com/soap/encoding/Clr/1.3'  SOAP-ENV: encodingStyle='.com://schemas.xmlsoap.org/soap/encoding/'> ＆lt; SOAP-ENV: Body＆gt; ＆lt; a1: TestClass  Id='ref-1'  xmlns: a1='.com://schemas.microsoft.Com/clr/nsassem/WpfApp1/WpfApp1%2C%20Version%3D1.0.0.0%2C%20Culture%3Dneutral% 2C％20PublicKeyToken％3Dnull'＆GT; ＆lt; classname  Id='ref-3'＆gt; 36o＆lt;/classname＆gt; ＆lt; name  Id='ref-4'＆gt; Ivan1ee＆lt;/name＆gt; ＆LT;年龄＆GT;第18版; /年龄＆GT; ＆lt;/a1: TestClass＆gt; ＆lt;/SOAP-ENV: Body＆gt; ＆lt;/SOAP-ENV: Envelope＆gt; 0x02 SoapFormatter反序列化 2.2，反序列化使用方法 SoapFormatter类反序列化过程将SOAP信息流变换为对象，并通过建立新对象来启用反序列化多个重载方法。该定义定义了IRemotingFormatter和IFormatter插口的实现。

请参阅IRemotingFormatter接口标准以了解IFormatter也是承继的。

创作者通过建立新对象启用Deserialize方法实现的特定实现编码可以参照以下几点。

反序列化TestClass类的组员名字的值。

3.2，进攻向量 - ActivitySurrogateSelector 在SoapFormatter类的定义中，除了构造函数之外，有一个SurrogateSelector属性，SurrogateSelector是代理商选择器。序列化代理商的优势是，如果备份程序想要反序列化目前类型的案例，它就会被代理商启用。对象自定方法。查看ISurrogateSelector插口的实现，定义如下

由于序列化代理商类型必须实现System.Runtime.Serialization.ISerializationSurrogate插口，因此ISerializationSurrogate在Framework类库中定义如下：