.NET高级代码审计(第三课)Fastjson反序列化漏洞

最新推荐文章于 2024-05-15 04:51:28 发布
最新推荐文章于 2024-05-15 04:51:28 发布
阅读量993 收藏 23
点赞数 21
文章标签: 安全 web安全 json asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/134638771
版权

 0X00 前言

Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。让你轻松实现.Net中所有类型(对象,基本数据类型等)和Json之间的转换,fastjson是一个开源的Json.Net库,下载地址 fastJSON - Smallest, Fastest Polymorphic JSON Serializer - CodeProject,反序列过程中详细的性能对比如下

从图上得出和老牌Json.Net、Stack等比起来速度和性能优势非常明显,究其原因组件的作者利用反射生成了大量的IL代码,而IL代码是托管代码,可以直接给运行库编译所以性能就此大大提升。但在某些场景下开发者使用JSON.ToObject方法序列化不安全的数据时候会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。

0X01 Fastjson序列化

使用JSON.ToJSON可以非常方便的实现.NET对象与Json数据之间的转化,ToJSON首先会得到对象名称所在的程序集全限定名,并且作为$types这个key的值,再将对象的成员属性名转化为Json数据中的Key,把对象的成员属性值转化为Json数据中的value,下面通过一个实例来说明问题,首先定义TestClass对象

定义了三个成员,并实现了一个静态方法ClassMethod启动进程。 序列化通过创建对象实例分别给成员赋值 

笔者为了尽量保证序列化过程不抛出异常,所以引入了 JSON.ToJSON方法的第二个参数并实例化创建JSONParameters,它的字段中有很多类型是布尔值,

和反序列化漏洞相关的字段为UseExtensions ,将它设置为true可得到类的全限定名,如果不需要序列化空值的时可将另一个字段SerializeNullValues设为false; 笔者使用JSON.ToJSON后得到序列化的Json数据

0x02 Fastjson反序列化

2.1、反序列化用法

反序列过程就是将Json数据转换为对象,Fastjson通过创建一个新对象的方式调用JSON. ToObject方法实现的,ToObject有多个重载方法,当传入两个参数,第一个参数需要被序列化的数据、第二个参数设置序列化配置选项来指定JSONParameters按照指定的属性值处理,重载方法参考下图

 

具体代码可参考以下Demo

2.2、打造Poc

漏洞的触发点也是在于被序列化的Json中的$types是否可控,为此官方文档里也标注了警告。

笔者继续选择ObjectDataProvider类方便调用任意被引用类中的方法,具体有关此类的用法可以看一下《.NET高级代码审计(第一课) XmlSerializer反序列化漏洞》,因为Process.Start方法启动一个线程需要配置ProcessStartInfo类相关的属性,例如指定文件名、指定启动参数,所以首先得考虑序列化ProcessStartInfo,如下代码Demo

一步步来看,开始从GetType获取当前类的实例,返回Type类型变量t3;然后通过Type.GetProperty方法找到指定为FileName的公共属性并赋值给PropertyInfo类型的变量propertyName;再使用PropertyInfo.SetValue方法设置对象的指定属性值“cmd.exe“,同理为Arguments属性指定值。下一步再来序列化Process类,并调用StartInfo启动程序,Demo如下

然后需要对其做减法,去掉无关的System.RuntimeType、System.IntPtr数据,最终得到反序列化Payload

FastJson定义的JSON类定义了多个ToObject重载方法,对于反序列化漏洞无需关心重载的方法参数是一个还是多个,它们都可以触发漏洞

笔者通过下面的Demo , JSON.ToObject(payload)反序列化成功弹出计算器。

0x03 代码审计视角

从代码审计的角度很容易找到漏洞的污染点,通过前面几个小节的知识能发现需要满足一个关键条件JSON.ToObject传入String或者Object就可以被反序列化,例如以下JSONSerializer类

攻击者控制传入字符串参数json便可轻松实现反序列化漏洞攻击。Github上也存在大量的不安全案例代码,如下

0x04 案例复盘

最后再通过下面案例来复盘整个过程,全程展示在VS里调试里通过反序列化漏洞弹出计算器。

1. 输入http://localhost:5651/Default Post加载value值

2. 通过ToObject 反序列化 ,并弹出计算器

最后附个动态图

0x05 总结

Fastjson凭借速度和性能上的优势占得一席之地,但随着newtonsoft.Json的主流化,性能上已经逐渐赶超了Fastjson,也使得Fastjson越来越小众化,对于攻击者来说,利用成本很低,在代码审计配合的情况下这种安全问题越发的严重起来,若提交恶意的污染数据,便可水到渠成的反序列化成功拿下目标,最后.NET反序列化系列课程笔者会同步到 Ivan1ee (Ivan Lee) · GitHub 、前言 - .NET高级代码审计 ,后续笔者将陆续推出高质量的.NET反序列化漏洞文章,欢迎大伙持续关注,更多的.NET安全和技巧可关注实验室星球一起交流。

dot.Net安全矩阵
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.NET 代码规范学习
学会改变自己——才能突破
02-06 5796
我是个比较自由的人,不喜欢受太多的束缚,有时候做一些事情,喜欢根基自己的想法去做,只要我认为对的我会坚持下的!但是随着学习的不断深入,代码的编写规范,让我越来越感觉到它的重要性。        保证代码的一致性,会使我们自己写的代码阅读性很强,便于交流和维护,更直接一点说可以让我们避免很多不必要的麻烦,带来很大的经济效益!        下边我谈谈.NET代码规范的学习:
Fastjson序列漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的序列漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson序列漏洞的历史,并对一些关键的...
号称.Net下最快的json组件fastJSON.zip
07-19
JSON数据格式简洁,用于数据的持久和对象传输很实用。 java下有个大名鼎鼎的阿里巴巴开源的Java的JSON处理器 fastjson,.net也有个.net版的fastjson。这里是作者做的性能测试:代码调用namespace test {     class Program     {         static void Main(string[] args)         {             var zoo1 = new zoo();             zoo1.animals = new List<animal>();             zoo1.animals.Add(new cat() { Name = "hello kitty", legs = 4 });             zoo1.animals.Add(new dog() { Name = "dog1", tail = true });             string json= fastJSON.JSON.Instance.ToJSON(zoo1); //序列             var z = fastJSON.JSON.Instance.ToObject<zoo>(json); //序列             Console.WriteLine(z.animals[0].Name);             Console.Read();         }     }     public class animal { public string Name { get; set; } }     public class cat : animal { public int legs { get; set; } }     public class dog : animal { public bool tail { get; set; } }     public class zoo { public List<animal> animals { get; set; }  }基本的调用就是这么简单! 需要注意的是要序列的类好像必须声明为public的。快速的秘密 大体浏览了一下代码,发现之所以快速的原因是作者利用射时Emit了大量的IL代码:internal object FastCreateInstance(Type objtype)         {             try             {                 CreateObject c = null;                 if (_constrcache.TryGetValue(objtype, out c))                 {                     return c();                 }                 else                 {                     if (objtype.IsClass)                      {                         DynamicMethod dynMethod = new DynamicMethod("_", objtype, null);                         ILGenerator ilGen = dynMethod.GetILGenerator();                         ilGen.Emit(OpCodes.Newobj, objtype.GetConstructor(Type.EmptyTypes));                         ilGen.Emit(OpCodes.Ret);                         c = (CreateObject)dynMethod.CreateDelegate(typeof(CreateObject));                         _constrcache.Add(objtype, c);                     }                     else // structs                     {                              DynamicMethod dynMethod = new DynamicMethod("_",                             MethodAttributes.Public | MethodAttributes.Static,                             CallingConventions.Standard,                             typeof(object),                             null,                             objtype, false);                         ILGenerator ilGen = dynMethod.GetILGenerator();                         var lv = ilGen.DeclareLocal(objtype);                         ilGen.Emit(OpCodes.Ldloca_S, lv);                         ilGen.Emit(OpCodes.Initobj, objtype);                         ilGen.Emit(OpCodes.Ldloc_0);                         ilGen.Emit(OpCodes.Box, objtype);                         ilGen.Emit(OpCodes.Ret);                         c = (CreateObject)dynMethod.CreateDelegate(typeof(CreateObject));                         _constrcache.Add(objtype, c);                     }                     return c();                 }             }             catch (Exception exc)             {                 throw new Exception(string.Format("Failed to fast create instance for type '{0}' from assemebly '{1}'",                     objtype.FullName, objtype.AssemblyQualifiedName), exc);             }         }更多教程请参考:http://www.codeproject.com/Articles/159450/fastJSON 标签:fastjson  json
推荐一个.Net常用代码集合,助你高效完成业务
成长的足迹
10-23 1305
FTP:链接、文件上传、文件下载、文件夹获取、文件获取、修改文件名称、获取文件信息、切换目录。图片:收略图、图片/文字水印、色、浮雕、拉伸、滤镜、翻转、压缩、黑白、上传下载等操作。其他:字符串类型转换、配置文件操作、日志、时间戳、随机数、线程、正则表达式。网络:Http请求、IP获取、邮件发送、Socket操作、客户度信息获取。文件:读写文件、删除、追加文件、后缀名、目录、文件属性等。XML:文件读取、保存、节点增、删、改,节点属性管理。Excel:文件读取、编辑、格式转换、查询。
21 - vulhub - fastjson 序列导致任意命令执行漏洞
最新发布
2401_84140130的博客
05-15 656
① 2000多本Python电子书(主流和经典的书籍应该都有了)② Python标准库资料(最全中文版)③ 项目源码(四五十个有趣且经典的练手项目及源码)④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)⑤ Python学习路线图(告别不入流的学习)这里先说一下大致的复现思路。在靶场环境准备好之后,需要做的就是攻击环境的准备。1.本地要有 java 环境 [否则无法编译 payload ,生成可利用的 class 文件]
常用的.NET代码(很基础的)
08-09 2007
整理了一些常用的.NET代码,贴出来供大家参考,并希望我们一起搜集更多的内容。一、为GridView添加索引列 asp:TemplateField HeaderText="ID">ItemTemplate># Container.DataItemIndex +1 %>ItemTemplate>asp:TemplateField>二、批量删除列模板列代码:as
.NET高级代码审计(第一)XmlSerializer序列漏洞
ahhacker86的专栏
11-22 211
在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。
Java序列漏洞自动挖掘方法.pdf
08-21
总之,Java序列漏洞的自动挖掘是信息安全建设中不可或缺的一环,它涉及到安全审计、安全架构和漏洞管理等多个方面。通过理解序列的机制,结合静态分析和搜索算法,可以有效地发现并预防这类漏洞,从而保护...
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson序列漏洞为例 1、此时/tmp目录 ![img]...
fastjson1.2.69序列远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的序列远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
Java-Deserialization-Cheat-Sheet:关于Java序列漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的序列漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
代码审计-.NET】基于.NET框架开发的代码审计
12-10 6418
代码审计-.NET审计方法与审计过程总结
.NET高级代码审计(第二) Json.Net序列漏洞
ahhacker86的专栏
11-24 1142
Newtonsoft.Json库在实际开发中使用率还是很高的,攻击场景也较丰富,作为漏洞挖掘者可以多多关注这个点,攻击向量建议选择ObjectDataProvider,只因生成的Poc体积相对较小。最后.NET序列系列程笔者会同步到前言 - .NET高级代码审计,后续笔者将陆续推出高质量的.NET序列漏洞文章,请大伙持续关注。
FastJson使用详解这一篇就够了
qq_28754027的博客
04-03 1万+
FastJson是一种高性能的Java JSON解析库,它采用类似于Jackson和Gson的JSON序列序列机制,但是速度更快。FastJson支持Java对象到JSON的序列和JSON到Java对象的序列,同时支持对JSON字符串的高效解析。
Fastjson漏洞复现
weixin_53747497的博客
03-29 2035
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson序列漏洞
wxh8893893的博客
05-18 3239
Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本及以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过json携带POC在使用Fastjson的服务器上进行远程代码执行。 {"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"test123.ceye.io"}}}
.NET-10. 其他-代码片段
joyyi9的博客
11-28 283
部分代码是网上摘抄,这里只是做一个个人的代码片段的总结。
Fastjson序列漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转为json格式的字符串,也可以将json格式的字符串转为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则过来将 JSON 字符串转换成对象。 二、fastjson序列漏洞原理 在序列的时候,会进入parseField方法,进
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1612
最先出现问题的Fastjson 1.2.24序列漏洞已经分析过了,产生漏洞的原理也差不多理解了。
fastjson序列漏洞_Fastjson序列漏洞的检测和利用
05-21
3. 利用Fastjson序列漏洞实现弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson序列漏洞实现弹Shell操作。 防范Fastjson序列漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值