Fastjson反序列化漏洞
fastjson是阿里巴巴公司推出的一个用于快速处理json数据的java类库,这个库由于在传输json数据的时候,中间有一个标识,这个标识允许用户传入一个类名,因此攻击者可以传入他想要执行的类,通过执行这个类,调用rmi方法,去执行他部署的一个恶意方法
json
一种特殊的数据格式,和各种数据格式转化的时候,稳定且友好
完全独立于编程语言的文本格式来存储和表示数据,易于人阅读和编写。同时也易于机器解析和生成。任何支持的类型都可以通过 JSON 来表示,例如字符串、数字、对象、数组等。但是对象和数组是比较特殊且常用的两种类型。
fastjson(alibaba)
fastjson这个类库可以很快速的对json数据进行转化
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 java对象
AutoType
想要把java对象转换为json字符串可以有两种选择:1.基于属性2.基于setter/getter
fastjson在把对象转换为字符串时就是通过遍历该类目所有的getter方法进行的。
但是当一个类只有一个接口的时候在使用这个进行序列化的时候,就会将子类抹去只保留接口的类型,最后导致反序列化无法得到原始类型。
那为了解决这个问题就是引进了autotype(在序列化时,把原始类型记录下来)。它使用的方法是SerializerFeature.WriteClassName进行标记的。
使用SerializerFeature.WriteClassName进行标记后,JSON字符串中多出了一个@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型
也正是因为引进了autotype才导致了漏洞!
漏洞原理
因为引进了AutoType功能,fastjson在对json字符串反序列化的时候,会读取到type到内容,将json内容反序列化为java对象并调用这个类的setter方法。
那是不是可以利用这个特性,自己构造json字符串然后使用@Type标记指定一个自己想要使用的攻击类库。然后fastjson会自己构造的json字符串反序列化然后执行。
1.攻击者访问目标网站,通过burpsuite抓包,以json格式添加jdbcrowsetlmpl恶意类信息发送给目标机。
2.目标机对json反序列化时候,会加载执行攻击者构造的信息(访问rmi服务器),rmi给靶机下发命令。
\3. 靶机得到rmi的服务的相应,去执行dnslog类。
poc
1、 需要有一个恶意方法
2、 java源代码利用javac编译生成class后缀的文件
3、 攻击者需要有一个rmi的服务
4、 先用python启动一个web服务。8088
5、 利用marshalsec-0.0.3-SNAPSHOT-all.jar工具在9001端口启动一个rmi服务,这个rmi启动需要依赖web
rmi
RMI是Java的一组拥护开发分布式应用程序的API。RMI使用Java语言接口定义了远程对象,它集合了Java序列化和Java远程方法协议(Java Remote Method Protocol)。
防护
神奇的L;
