追洞小组 | fastjson1.2.24复现+分析

访客4年前黑客工具562

文章来源|MS08067 WEB攻防知识星球

本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)

漏洞复现分析 认准追洞小组

1、靶场搭建

2、漏洞复现

3、漏洞分析

4、漏洞修复

5、心得

靶场搭建

使用idea maven项目创建,在pom中导入fastjson的坐标。(因为本文复现1.2.24的rce,所以版本要小于1.2.24,本文采
取1.2.23版本坐标)。

导入之后在右边点击maven图标导入。

坑点

其中环境有一个非常细小的点,可以说是个大坑,我调试了很久,之前的报错如下:

1、rmi+jndi环境:java.sql.SQLException: JdbcRowSet (连接) JNDI 无法连接
2、ldap+jndi环境:java.lang.ClassCastException: javax.naming.Reference cannot be
cast to javax.sql.DataSource

后来才发现是java的环境没有配置对,虽然都是jdk1.8,但是复现的环境采用1.8.0_102,之前的环境1.8.0_221没有复现成 功。因为JDK8u113 之后,系统属性 com.sun.jndi.rmi.object.trustURLCodebase 、
com.sun.jndi.cosnaming.object.trustURLCodebase的默认值变为false,即默认不允许RMI、cosnaming从远程的 Codebase加载Reference工厂类。

漏洞复现

一、准备被远程下载的class文件

这边简单弹个计算器,也可以反弹shell


命令行输入 javac Calc.java ,在当前文件夹下会生成Calc.class文件。

二、 http服务

可以简单的用python3在当前Calc.class文件的文件夹下起http服务

python -m http.server 8088

三、RMI服务

使用marshalsec起rmi服务

简而言之就是将class文件放到了http服务上,再用rmi服务绑定该class文件,并将rmi服务的端口应用在8888端口上。

漏洞分析

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get *** 来访问属性。通过查找代码中相关的 *** ,即可构造出一些恶意利用链。

首先放上服务端使用的poc demo:

一、熟悉fastjson工作流程

我们的poc中用到的类是

com.sun.rowset.JdbcRowSetImpl


我们直接进入 com.alibaba.fastjson. *** ON 这个类中,并在parseObject函数上面下断点。

image.png

最后会跟到这个 *** 上。通过Default *** ONParser类去parse我们传入的字符串

image.png

跟进74行的parse代码。这里是根据 *** ONLexer的token为12到case的判断,进入关键函数。

image.png

根据lexer.token() *** 返回token的值,这里是12,所以进入else进行处理。

image.png

然后进入while(true)循环,之一步骤就是lexer.skipWhitespace,跟进去查看 ***

image.png

因而返回的是 “ 号,所以可以进入if判断,根据变量名我们也可以得知,scanSymbol这个 *** 返回的是key关键字。

(key、value对)

image.png

大家可以简单的跟进

com.alibaba.fastjson.parser. *** ONLexerBase#scanSymbol

这个函数走一下流程,最后会通过双引号的闭合判断来返回value字符串,这边返回的就是之一个字符串 @type

image.png

继续往下走到了这里,将key和全局静态常量作比较看是否为 @type ,如果是的话,进入if判断。

image.png

跟进 com.alibaba.fastjson.util#loadClass ,这里面并没有做什么黑名单的过滤就讲这个类对象返回了。

image.png
上面那行代码,跟进分析

image.png

判断是类名返回

image.png

跟进 *** 分析返回

FastJsonA *** Deserializer_1_JdbcRowSetImpl

image.png

再跟进deserialze后继续往下调试,进入setDataSourceName *** ,将dataSourceName值设置为目标RMI服务的地址

一路跟到parseField ***

image.png

调用 *** artMatch *** 来处理我们传入的key值,跟进这个 ***

image.png

之后回跟到

((FieldDeserializer)fieldDeserializer).parseField(parser, object, objectType,
fieldValues);这行代码,进入FieldDeserializer的parseField *** 。进行一些Field的赋值操作。

image.png
再跟进

com.alibaba.fastjson.parser.deserializer.FieldDeserializer#setValue

*** ,根据fieldInfo.fieldClass判断该类,最后进入箭头指向的else体,通过反射调用setAutoCommit关键 *** 。嘿嘿,接下来不是为所欲为。

image.png

这个jdk自带的类必须要先获得一个connection,如果没有的话先执行connect *** 。我们进去看看里面有什么。

image.png

因为我们在前面通过setDataSourceName() *** 设置了dataSourceName的值,所以进入esle if通过lookup *** 去获取

dataSource。而rmi(java远程 *** 调用机制)的主角就是这个 *** ,如果lookup里面传入的参数可控,就可以指向我们所构造的rmi服务,那么就有很大的可能被攻击。(InitialContext
是一个实现了Context接口的类。使用这个类作为JNDI命名服务的入口点。)

这里也简单提一句JNDI和RMI关系,以便更好理解。简单来说,JNDI (Java Naming and Directory
Interface)是一组应用程序接口。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。JNDI接口在初始化时,可以将RMI
URL作为参数传入,而JNDI注入就出现在客户端的lookup()函数中。

image.png

用referenceWrapper包装reference类,注册在jndi的rmi服务实现上,这里rmi服务器绑定的类并没有实现相应的接口,而是通过Refernces类来绑定过一个外部的远程对象。(这里先提及一下,后面会详细说明)一路跟进到这个最终的 *** ,该 *** 执行完就会加载完远程类实现rce。可以看到这里的var3是RegistryContext类,调用lookup函数。

image.png
跟进去时候传入的这个参数是Calc也就是/后面的请求文件,不为空之后调用this.registry(RegistryImpl_Stub,stub和skel的概念是相对而言的,并不只存在于服务端和客户端之间)的lookup *** ,是我们可控的,所以就造成了JNDI注入漏洞。

image.png
继续跟进marshelsec可能会出现这样的错误:

原因是 *** 读取数据超时,我们跟进 *** 的同时加长的数据传输的时间,等待超时抛出错误。至此利用的部分已经结束。

疑惑

因为JNDI注入中RMI服务器最终执行远程 *** ,但是目标服务器lookup()一个恶意的RMI服务地址,反而是目标服务器执行了。那么究竟是什么原因?

在JNDI服务中,RMI服务端除了直接绑定远程对象之外,还可以通过Reference类来绑定一个外部的远程对象(当前名称目录系统之外的对象)。绑定了Reference之后,服务端会先通过Referenceable.getReference()获取绑定对象的引用,并且在目录中保存。当客户端在lookup()查找这个远程对象时,客户端会获取相应的object
factory,最终通过factory类将reference转换为具体的对象实例。

简而言之,在Server绑定Reference时,这个恶意对象是不在Server上的,Reference指向某个地址,Client会去这个地址

取出对象并在Client实例化。

总结

攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup *** 中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数造成RCE。

漏洞修复

从1.2.25开始对这个漏洞进行了修补,修补方式是会在

com.alibaba.fastjson.parser.Default *** ONParser#parseObject

*** 中调用

com.alibaba.fastjson.parser.ParserConfig#checkAutoType

来检查我们传入的类是不是在黑名单中,也就是将TypeUtils.loadClass替换为checkAutoType()函数:

image.png
只有通过了白名单的校验才会调用loadClass。

但是这里同时使用白名单和黑名单的方式来限制反序列化的类,只有当白名单不通过时才会进行黑名单判断,相当于白

名单并没有真正起到白名单的作用。我们仍然可以进入后续的流程来进行绕过。

黑名单里面禁止了一些常见的反序列化漏洞利用链:


心得

1、
Fastjson主要还是利用了autotype功能实现"@type"字段指定反序列化的Class类型,所以尽量关闭autotype就没有问题。虽然Fastjson在1.2.24之后实现了一套黑名单,但还是存在被绕过风险。

2、
rmi在fastjson中的利用只是jndi的一种手段,还有ldap等。是在rmi服务器上绑定reference对象,与rmi本身的反序列话不是很有关系。它将从攻击者控制的服务器获取工厂类,然后实例化工厂以返回
JNDI所引用的对象的新实例。

MS08067实验室官网:www.ms08067.com

公众号:" Ms08067安全实验室"

Ms08067安全实验室目前开放知识星球: WEB安全攻防,内网安全攻防,Python安全攻防,KALI Linux安全攻防,二进制逆向入门

最后期待各位小伙伴的加入!

目前36000+人已关注加入我们

相关文章

内马尔感染新冠(内马尔感染新冠 体坛明星无新冠“豁免权”)

内马尔感染新冠(内马尔感染新冠 体坛明星无新冠“豁免权”)10天前,内马尔在距离欧冠冠军近在咫尺的地方倒下,那时的他坐在球场上痛哭,所有的人都在心疼这位失意的孤胆英雄。 但在刚刚过去的这个夜晚,他却...

老灰黑客,黑客算网络安全吗,黑客帝国客破解QQ密码软件

前语图2-3 模仿点击相似的,用户能够运用–post来查找POST恳求。 QA1:为什么需求运用0xFFFFFFFF减去偏移值呢?[1][2]黑客接单 拜访80端口 http://192.168.56...

ecr是什么意思?ECR工程变更流程处理规范

ecr是什么意思?ECR工程变更流程处理规范

ecr是什么意思(ECR工程变更流程处理规范)1、目的 为达成更好的工艺、更好的质量目标,及时达成错误修正、新需求满足,提升客户满意度。   2、适用范围 本流程适用于量产阶段的产品。...

云母是什么材料(云母有危害吗)

云母是什么材料(云母有危害吗)

最近不少人问起护肤品中闪闪发光的东西是什么,或者有的知道是加了云母,会不会有什么危害等问题。今天就来谈谈化妆品中这些闪闪发光的云母。以及为什么化妆品中要加入云母这个成分。 先从我们的皮肤说起,健康的...

拍电脑黑客的电影(电脑黑客电影排行榜前10名)

拍电脑黑客的电影(电脑黑客电影排行榜前10名)

关于黑客有什么电影推荐? 1、3年,电影《战争游戏》开黑客影片先河。故事发生在里根总统任期,当时正值冷战高峰。苹果Mac机尚未诞生,电脑还只是科学怪才专属玩具,影片用大众对核战争和未知新科技的恐惧好好...

ZiTiWeb

字体网(Zi Ti Web)是一家专门网络种种艺术字体、书法字体和美术字体,并提供字体转换器在线转换天生工具的网站,助您设计制作出悦目的艺术字体,所有这一切都是免费的使用。 使用方法很简单:打开网站后...