fastjson1.2.47RCE远程命令执行漏洞复现
漏洞背景
在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。
漏洞分析
此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。
过程:
1.Fastjson在开始解析json (JS 对象简谱) 前会优先加载配置,在加载配置时会调用TypeUtils的addBaseClassMappings和loadClass方法将一些经常会用到的基础类存放到一个ConcurrentMap对象mappings中,类似于缓存机制。
2.然后开始解析json数据,在ParserConfig.checkAutoType方法中对’@type’对应的value进行处理。fastjson在1.2.2+版本默认便不再开启autoType选项,并且在调用解析函数,没有传入预期的反序列化对象的对应类名时,fastjson则通过从mappings中或者deserializers.findClass()方法来获取反序列化对象的对应类。
3.找到对应类后便返回,不再经过黑名单和autotype的检查流程。而java.lang.class类恰好存在于deserializers对象的buckets属性中。java.lang.class对应的反序列化处理类是MiscCodec,在MiscCodec类中,java.lang.class拥有加载任意类到mappings中的功能。首先从输入的json串中解析获取val对应的键值,获取后调用的TypeUtils. loadClass()方法对键值进行类加载操作。
4.Mappings是ConcurrentMap类的,可以让当前连接会话生效。所以需要在一次连接会话同时传入两个json键值对、此次连接未断开时,继续解析第二个json键值对。此时我们利用’@type’传入已经在黑名单中的com.sun.rowset.JdbcRowSetImpl类尝试jdni注入利用。
5.6.但是fastjson直接从mappings中获取到了该类,它绕过了黑名单以及autotype开关的检查,再利用jdni注入就可以了。
总之就是利用java.lang.class类加载黑名单类到mappings中,直接从mappings中取出黑名单类完成漏洞利用,绕过了黑名单机制。感觉这个更像是一个逻辑漏洞,是代码的运行逻辑缺陷造成的。
影响版本
Fastjson <= 1.2.47
环境搭建
环境直接在vulhub里搭建,vulhub安装过程可参考网站:
https: